一、综述 最近，天鹅绒安全实验室发出警报，而着名的美国数字文件签名平台DocuSign用户正遭到病毒邮件的攻击。该平台在全球拥有2亿用户，其中包括许多中国企业用户。请让DocuSign用户保持警惕。收到相关电子邮件后，请检查电子邮件的真实性。请勿在电子邮件正文中打开word文档以查看链接。

根据截获的病毒邮件分析和可追溯性，Velvet安全团队发现，着名的数字文档签名平台DocuSign遭到黑客攻击，导致用户数据泄露。 在病毒团伙得到用户信息后，它伪造了一个伪造的域名“DocuSgn”（一个字母，我比DocuSign少），病毒邮件从该域名发送给用户。病毒邮件伪装成会计发票，并使用DocuSign品牌徽标，因为使用了电子邮件的标题和正文。充满困惑，诱使用户下载包含恶意代码的word文档。当用户打开文档时，系统将询问用户是否打开禁用的恶意宏代码。如果用户启用禁止的宏，它将打开病毒的多个中继下载。最后下载并运行Zbot。 （如下所示）

此病毒邮件攻击的受害者仅限于DocuSign用户。天鹅绒安全可以通过虚拟行为沙箱检测恶意行为，因此您可以在不升级的情况下完全杀死病毒，并通过“mali URL拦截”功能拦截假域docusgn。 COM。 二、事件分析 最近，天鹅绒工作人员收到了来自'docusign'的电子邮件，由天鹅绒工程师证实，这是一个伪装成DocuSign的网络钓鱼邮件。发件人的电子邮件地址为dse@docusgn.com，与官方docusign.com有字差异，如下所示：

Velvet共收到4封相同的电子邮件，但下载文件的地址已更改4次。它们如下： Hxxp: //hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvc*uZy5jbjYxODg= Hxxp: //search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvc*uZy5jbjI1MTg= Hxxp: //tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvc*uZy5jbjcwMzE= Hxxp: //lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvc*uZy5jbjU2MTA= 单击“审阅文档”以下载包含恶意代码的Word文档：

下载的文档内容类似，只有一个图像。 Velvet最初怀疑恶意文档是使用MetaSploit工具生成的。打开文档后，Word将询问用户是否打开禁用的恶意宏代码，如下所示：

如果根据网络钓鱼文档中的说明关闭安全警告启用宏，则会触发文档中的恶意脚本。在执行脚本期间，脚本将被多次解密。解密的数据来自宏脚本窗口中的控制对象。控制对象数据如下：

密钥解密过程如下：

控制对象数据最终将解密包含恶意代码的PE文件，然后启动系统进程svchost.exe，并将解密的病毒注入svchost.exe以执行：

注入的svchost.exe仍然是一个下载程序。联网后，将另一个病毒程序“BN2589.tmp.exe”下载到TEMP目录并执行。 通过分析，“BN2589.tmp.exe”是由混淆器进行多重加密的Zbot。该病毒将启动explorer.exe作为运行恶意代码的进程：

在上图中，Explorer使用入口点代码进行修补，以确保在Explorer恢复线程后，它可以从入口点跳转到注入的恶意代码，然后跳转到恶意代码入口点继续解密：

注入到资源管理器中的恶意代码是一个令人困惑的动态库。导入表通过加密存储。注入动态库后，将首先修复导入表。修复将保留功能地址和功能名称。部分删除：

当父进程注入资源管理器时，它会在其内存块中记录加密的用户配置信息和启动程序路径：

在病毒的主要逻辑中，首先检测虚拟机是否进行反向调试：

此示例中使用的所有资源都已加密：

通过解密，您可以获得C＆amp; C服务器域名，如下所示： http://hargotsinlitt.com/bdk/gate.php http://mafeforthen.com/bdk/gate.php 在程序运行期间，将不断尝试网络以获得C＆amp; C返回的数据信息。在示例中我们还发现了大量的DNS服务器，如下所示： 185.121.177.53 185.121.177.177 45.63.25.55 111.67.16.202 142.4.204.111 142.4.205.47 31.3.135.232 62.113.203.55 37.228.151.133 144.76.133.38 这些DNS服务器具有DNSCrypt功能，该功能被假定为加密以访问病毒C＆amp; C服务器，如下所示：

完整的解密数据：

根据病毒的行为和复杂程度，结合上���中红色框中的解密字符片段，但通过之前泄露的ZBot源代码，可以得出结论，这无疑是Zbot：

由于源代码泄漏，Zbot是一个历史悠久且复杂的特洛伊木马。所以任何人都可以修改它，我们可以从之前泄露的Zbot源代码中看到该病毒具有以下主要行为： 1.获取浏览器cookie，Flash播放器cookie，FTP密码和电子邮件密码。   Zbot将读取包含不同FTP和电子邮件客户端的帐户信息的注册表或文件，然后将收集的信息打包到病毒作者的C＆amp; C服务器。从下面的两个数字中，我们可以看到Zbot可以窃取市场上主流FTP和电子邮件软件的帐户信息。

2.HOOK InternetReadFile和InternetReadFileExA功能，在获取网页时将代码注入网页，获取用户的账号信息：

3.HOOK GetClipboardData函数获取剪贴板信息：   4. HOOK TranslateMessage功能，截取程序信息，当按下按钮时，屏幕保存图片。当它是键盘键消息时，记录密钥信息。如下所示：

除了上面描述的几个函数之外，Zbot还有一些系统API，类似于上面的方法，主要用于获取用户信息，这里不再赘述。 Docusign是一个数字文档签名平台，其客户大多是企业用户。这种Zbot攻击非常有针对性。结合Zbot的行为，不排除病毒会窃取企业信息，网上银行密码和企业的其他关键信息。 在拦截病毒样本之前，Velvet已经能够检测并杀死相关病毒样本，并在拦截病毒当天升级了恶意URL拦截，阻止假域名dousgn.com。

三、附录 示例SHA1： EML 652eb7097d327cae8bd8a1d0d8e606f6a77603c8 99d84db0b071f0db97dc9d024349c3f4edb66911 A5f30b73103754923c568d7548af56fceed148b5 Eda9ac8e9b21c969c11d05337892e44fa9c1c045 DOC Cb6797ff6eb43748c07faaa7bf949a42929a5220 D6eefe9314ff0c581acf26d5a647e40c9d12fcd8 PE A809de46a2e21ac6aab7b66dbaa2206332935af3 Ae76db7f24a111ca022b00d29fb08cc76cbab41b 分析报告下载链接：http://down4.huorong.cn/doc/docusign.pdf