技术分析 剖析一个利用FTP快捷方式与批处理混淆的钓鱼攻击

技术分析 | 剖析一个利用FTP快捷方式与批处理混淆的钓鱼攻击

摘要

本文深入分析了一个颇具技巧性的钓鱼邮件样本。该样本通过压缩包分发，内含隐藏文件夹和一个经过精心构造的快捷方式，该快捷方式利用系统自带的ftp.exe执行一个高度混淆的批处理脚本，最终实现下载并执行Shellcode，从而建立与外联C&C服务器的连接。本文将从样本构成、脚本逐行解码、攻击链（Kill Chain）还原以及防御建议四个方面进行阐述。

一、 样本概览

• 载体形式： ZIP压缩包。
• 内容：
  1. 隐藏文件夹：用于存放恶意载荷（.doc文件），此举增加了用户的警惕难度。
  2. 恶意快捷方式 (.lnk)： 这是整个攻击的初始执行入口。
• Hashes：
  • SHA1: 5A735BD3402052CB80124CB855503E7DEF6AD696 (可用于威胁情报查询)

二、 攻击链深度剖析

阶段一：初始访问与执行（Initial Access & Execution）

恶意快捷方式的属性中，目标被设置为：

C:\Windows\System32\ftp.exe -s"":_/_/_/_/_/_/_/_/_

• 技术点：
  • -s:filename： 这是ftp.exe的参数，指示其从指定的文件中读取并执行FTP命令。
  • 混淆路径： _/_/_/_/_/_/_/_/_ 实际上指向了压缩包内隐藏文件夹中的某个脚本文件（如script.txt）。这里的_和/很可能是为了绕过简单的字符串匹配检测。ftp.exe会尝试将此路径解析为脚本文件并执行。

阶段二：载荷投放与部署（Payload Deployment）

ftp.exe执行的脚本是一个经过混淆的Windows批处理文件，其核心功能如下：

1. 文件操作与拼接：

   • copy /Y /b fileA+fileB outputFile： 这是整个脚本的核心技术。/b参数表示以二进制模式进行文件合并。攻击者将恶意载荷分片存储在多个看似无害的.doc文件中（如header.doc, sc.doc, WindowsSecurity.doc），然后在受害者机器上通过批处理将其重新拼接成可执行文件。
   • 动态命名： 使用%TIME:~4,1%和%RANDOM%等环境变量来生成动态的文件名和内容，增加了行为的随机性，极大地干扰了基于静态 hash 或固定路径的安全检测。

2. 载荷解密与执行：

   • 脚本最终会拼接出两个关键文件：
     • C:\Users\Public\Update\%TIME:~3,1%.exe (由header + WindowsSecurity.doc拼接)
     • C:\Users\Public\Update\360.%TIME:~4,1% (由header + shell32拼接)
   • 通过命令行执行第一个exe文件，并传递参数：

     -InstallLsp C:\Users\Public\Update\360.2
     

     • -InstallLsp： 参数名暗示其功能与分层服务提供商（LSP） 有关，这是一种用于监控或劫持网络流量的技术，常被恶意软件用于实现网络代理、窃取数据等功能。
     • 分析表明，该可执行文件的作用是解密360.2文件（即之前拼接的第二个文件），解密出的内容是一段Shellcode。

3. 持久化尝试（Persistence）：

   • 脚本包含一个条件判断语句：如果C:\Users\Public\WinVer.dll不存在，则通过合并新的.doc文件创建它，并使用regsvr32 /s（静默模式）注册此DLL。
   • 技术点： regsvr32是系统合法工具，被广泛用于“Living off the Land”攻击。恶意DLL一旦被注册，即可实现持久化驻留。

阶段三：命令与控制（Command & Control）

• 解密后的Shellcode最终目的是外联到恶意IP地址的特定端口，试图与攻击者的命令与控制（C&C）服务器建立通信通道，等待后续指令（如：下载更多恶意软件、窃取数据等）。
• 在本案例中，分析人员发现C&C服务器IP端口已关闭，因此攻击未能最终完成，但这并不降低该样本本身的危险性。

三、 技术总结与IoC

攻击链全景图：
恶意快捷方式 → 利用ftp.exe执行脚本 → 批处理拼接分片文件 → 生成EXE并解密Shellcode → 外联C&C

主要规避技术（MITRE ATT&CK框架映射）：

• T1204.002： 用户执行（通过诱使用户点击快捷方式）
• T1047： 利用Windows管理工具（ftp.exe, regsvr32.exe）进行攻击
• T1027： 对文件或信息进行混淆（路径混淆、环境变量动态命名、文件分片拼接）
• T1218.010： 通过Regsvr32系统工具代理执行

Indicators of Compromise (IoC)：

四、 防护建议

1. 终端防护：
   • 部署具备行为检测能力的EDR/NGAV产品。静态哈希检测极易被绕过，但行为分析可以捕捉到ftp.exe执行脚本、批处理进行大量文件拼接、异常注册DLL等恶意行为序列。
2. 用户教育：
   • 培训用户不要打开来源不明的压缩包，尤其要警惕隐藏文件夹和非可执行文件（如快捷方式）。
3. 策略限制：
   • 考虑在企业环境中通过AppLocker或软件限制策略（SRP）限制ftp.exe、regsvr32.exe等系统工具从用户目录执行，仅允许有合法需求的管理员使用。
4. 威胁情报：
   • 将提供的IoC纳入监控体系，用于检测和回溯是否有其他设备受影响。

版权声明：本文分析基于公开技术资料，仅供安全研究人员交流学习之用，请勿用于非法用途。