"树狼"来袭，针对企事业单位的新攻击

bambooslip

事件概述

近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接，或文档的攻击活动，攻击者使用hfs搭建文件存储服务，存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。

通过hfs页面的点击次数可以看出受影响用户广泛，以下是我们近期监测到近期树狼远控攻击活动趋势，首次发现于2023年11月中旬，根据其pdb名称命名为”树狼“。

执行流程

用户下载后的文件一般以"查询端口-客户端"，"查询入口"，"电脑端查询入口"等命名，并伪装WinRAR的图标，诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块，这是一种基于gh0st的远控变种，后在内存加载执行，后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

详细分析

该样本使用[color=var(--weui-LINK)][url=]MFC[/url]编写，仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率，启动后[过滤]面显示，创建线程使用TCP连接到206.238.220.90:16037，连接后发送HEX "33 32 00"后，使用recv进行接收一段[color=var(--weui-LINK)][url=]Shellcode[/url]并调用。

接收的ShellCode中含有一个[color=var(--weui-LINK)][url=]dll文件[/url]，在执行到shellcode后，使用内存加载，该dll在内存中加载起来，最终调用dll的导出函数"run"。pdb全路径为："D:\HPWolftree+验证\Plugins\Release\online.pdb"。

在run导出函数内，攻击者根据判断启动参数，准备了两个分支。

在无参数分支中将自身文件复制到 %USERPROFILE%\Documents\msedge.exe 中，并将系统文件的 %SystemRoot%\[color=var(--weui-LINK)][url=]System32[/url]\msiexec.exe 复制到 %PROGRAMFILES%\msiexec.exe，利用系统文件msiexec本身也会合法进行加载其他模块的特性，以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程，使用 APC 早鸟注入把 [color=var(--weui-LINK)][url=]msiexec[/url] 变为傀儡进程，注入的shellcode执行后会进行自反射加载执行。

此外run函数内会进行调用打开常见的杀毒软件进程，并对其的程序Token权限进行降权，后对杀软进程中的所有线程投递WM_QUIT信息，尝试关闭以规避杀毒软件的监控。

添加注册表开启启动项"IsSystemUpgradeComponentRegistered"，项内容为："%USERPROFILE%\Documents\msedge.exe" 以实现持久化。

当在被早鸟注入的 msiexec.exe 执行后，与前文提到的shellcode加载dll执行流程相同，不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑，上线地址同样为：206.238.220.90:16037，在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器，后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块："Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等，对应键盘监听，文件监控，屏幕监控，Shell命令执行等攻击模块。

总结

如今在复杂的网络环境下，网络钓鱼攻击不断增加和本身不断演变的性质，钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开，并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家，作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施，比如定期更新软件、避免打开不明链接和附件，目前毒霸已支持查杀。

IOCs(部分)

A3FD043C364D24FCE08095727AE115D0

E6A868C16B8CB2B7690D5ABB0486D7B8

9D5B13ECA172701C0F84EBC2D2CC2DBE

A68DA897C3A7AC8FF432170FF816DA27

206.238.220.90

https[:]//instq.libabacloud.com

http[:]//fyp-cn-jiagang.zxnaea.com:8002

https[:]//instq.libabacloud.com/

http[:]//fyp-cn-jiagang.zxnaea.com:8002/

http[:]//154.39.251.128/

http[:]//fdgdf.xyz:808/

http[:]//liutaoqpod.com:808/

郢都离人

网络安全形势依旧严峻

AwardedSheet616

怎么还是毒霸的，感觉毒霸不是挺摆的。

dght432

IOC没放图片里，这点比火绒好多了。

x-天秤座

用冰盾+McafeeVSE（默认规则+自定义规则）实机解压执行了一下：第一次在规则控制下不允许联网，该程序直接无声无息了，然后打开网络权限，等待一会儿...，冰盾提示拦截了%USERPROFILE%\Documents的msedge.exe和%PROGRAMFILES%的msiexec.exe的执行命令---生成被VSE拦截了，然后显示Mcafee出现错误但没有被关闭，估计程序在不断远控生成那两个文件和关闭安全软件，电脑变卡顿----但是冰盾和VSE都没有被关闭，那两个文件在相应目录始终没有生成，后来不想等了就重启，重启后发现，无论是冰盾还是VSE的默认规则（自定义规则也漏了）都没有拦截到对注册表/SOFTWARE/Wow6432Node/Microsoft/Windows/CurrentVersion/Run的写入，也就是启动写入，然后把这个在冰盾和VSE的自定义规则里面补充了。
发现现在的恶意软件都喜欢远控在内存里执行，如果不能内存清除只有重启，不太好，如果是服务器那重启麻烦了。

user114514

蜘蛛阻断的阻断，隔离的隔离，kill all

小新爱打小怪兽

AwardedSheet616 发表于 2024-1-27 20:33
怎么还是毒霸的，感觉毒霸不是挺摆的。

瘦死的骆驼比马大，多少还是有点技术积累，或者一些厉害的大佬存在，所以摆烂，但是又不是完全摆烂

x-天秤座

user114514 发表于 2024-1-28 16:44
蜘蛛阻断的阻断，隔离的隔离，kill all

刚用蜘蛛扫描器试了一下确实能检测出来，McafeeVSE依旧检测无反应。