服了！居然在簡歷中藏木馬！

神秘郵件

前幾天，公司HR在群里發(fā)來了一條消息，說收到一封非?？梢傻暮啔v郵件。

不枉公司三令五申的信息安全意識培養(yǎng)，咱們的HR小姐姐能有這樣的敏銳意識，得給她點個贊！

最近部門確實在進行人員招聘，也進行了大量的招聘宣傳，每天都要收到不少的簡歷郵件，但這封郵件卻透露著些許古怪。

郵件的正文沒有任何信息，只有一個附件：簡歷.pdf

首先，咱們正常人投個簡歷，怎么著也會在正文中簡單介紹一下自己吧？誰會像這樣直接留白呢？

其次，附件簡歷的文件名一般都會包含職位、名字等信息吧？就像小白-安全研發(fā)工程師-個人簡歷.pdf，誰會直接就叫“簡歷”?。?/p>

沙箱分析

拿到這個pdf文件，別急著打開，弄到虛擬機沙箱中，看一下這貨能不能現(xiàn)出原形。

pdf文件打開一切看起來正常，確實像是一封真實的簡歷，就連應聘人的需求都是匹配的，但查證后發(fā)現(xiàn)，其中的聯(lián)系方式全都是虛構(gòu)的，簡歷內(nèi)容基本是網(wǎng)絡(luò)找來東拼西湊+虛構(gòu)偽造出來的。

再來看一下樣本的行為分析，看看有沒有什么可疑的行為。

我嘞個去！不看不知道，這家伙居然釋放了一個程序出來到臨時文件夾，然后把它給執(zhí)行了起來！

去臨時文件夾中試圖找到這個文件，結(jié)果發(fā)現(xiàn)文件沒了：

看來這家伙有點能耐啊！

臨時寫了個腳本，在虛擬機后臺運行，不斷檢測備份臨時文件夾下的文件。

再一次跑了一下樣本文件，總算把這個釋放出來的exe給逮住了。

逆向分析

接下來送它進反匯編神器IDA，扒掉這家伙的底褲。

打開一看，好家伙，我直呼好家伙！也不加個殼啥的，直接裸奔，連基本的指令優(yōu)化都沒開，這還不給我扒個底朝天。

很快，我發(fā)現(xiàn)了一個有意思的地方：

這貨在遍歷文件目錄，像是在搜索什么東西。

找到文件過濾的地方，這里是一個數(shù)組，在遍歷尋找數(shù)組中的內(nèi)容。

接下來，看一下過濾的字符串，高能來了！?。?/p>

居然在找簡歷、offer、工程師關(guān)鍵字的文件?。?！

這是什么騷操作？

后面還有一段邏輯，是檢測文件的MD5，防止把自己人“簡歷.pdf”當做了目標。

拿到文件后呢，接著追溯起來，代碼找起來太慢了，還是放沙箱里面抓行為吧。

把這個exe再一次送進沙箱分析，來看一下網(wǎng)絡(luò)請求。

遺憾的是，并沒有發(fā)現(xiàn)有網(wǎng)絡(luò)請求，猜測是沒有拿到目標文件所以沒有傳送？

于是我又構(gòu)造了一個假的Java研發(fā)工程師.pdf文件，來釣釣魚。

再來一次，果不其然，魚兒上鉤了，這一次抓到了一個網(wǎng)絡(luò)請求：

一個神秘的域名DNS解析！限于沙箱的隔離環(huán)境，這個請求實際上并沒有成功，所以也就沒有后續(xù)對這個域名的請求了。

遺憾的是，這個域名現(xiàn)在已經(jīng)關(guān)閉了，沒法訪問，難道是別人先一步發(fā)現(xiàn)了嗎？

復盤

案情的全貌浮出了水面：

HR的郵箱收到了一個藏有木馬的《簡歷.pdf》文件，文件打開后會釋放并執(zhí)行一個木馬程序xxx.exe（隨機名）。

接著木馬會遍歷磁盤目錄，尋找文件名中包含簡歷、offer、工程師三個關(guān)鍵字的文件。

拿到文件后，會通過網(wǎng)絡(luò)請求將拿到的文件發(fā)送出去！

究竟是誰會做這樣的事？細思恐極！