查看: 3492|回复: 7
收起左侧

[金山] "树狼"来袭,针对企事业单位的新攻击

[复制链接]
bambooslip
发表于 2024-1-26 14:54:34 | 显示全部楼层 |阅读模式
事件概述
近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接,或文档的攻击活动,攻击者使用hfs搭建文件存储服务,存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。
通过hfs页面的点击次数可以看出受影响用户广泛,以下是我们近期监测到近期树狼远控攻击活动趋势,首次发现于2023年11月中旬,根据其pdb名称命名为”树狼“。

执行流程
用户下载后的文件一般以"查询端口-客户端","查询入口","电脑端查询入口"等命名,并伪装WinRAR的图标,诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块,这是一种基于gh0st的远控变种,后在内存加载执行,后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

详细分析
该样本使用[color=var(--weui-LINK)][url=]MFC[/url]编写,仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率,启动后[过滤]面显示,创建线程使用TCP连接到206.238.220.90:16037,连接后发送HEX "33 32 00"后,使用recv进行接收一段[color=var(--weui-LINK)][url=]Shellcode[/url]并调用。
接收的ShellCode中含有一个[color=var(--weui-LINK)][url=]dll文件[/url],在执行到shellcode后,使用内存加载,该dll在内存中加载起来,最终调用dll的导出函数"run"。pdb全路径为:"D:\HPWolftree+验证\Plugins\Release\online.pdb"。
在run导出函数内,攻击者根据判断启动参数,准备了两个分支。
在无参数分支中将自身文件复制到 %USERPROFILE%\Documents\msedge.exe 中,并将系统文件的 %SystemRoot%\[color=var(--weui-LINK)][url=]System32[/url]\msiexec.exe 复制到 %PROGRAMFILES%\msiexec.exe,利用系统文件msiexec本身也会合法进行加载其他模块的特性,以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程,使用 APC 早鸟注入把 [color=var(--weui-LINK)][url=]msiexec[/url] 变为傀儡进程,注入的shellcode执行后会进行自反射加载执行。
此外run函数内会进行调用打开常见的杀毒软件进程,并对其的程序Token权限进行降权,后对杀软进程中的所有线程投递WM_QUIT信息,尝试关闭以规避杀毒软件的监控。
添加注册表开启启动项"IsSystemUpgradeComponentRegistered",项内容为:"%USERPROFILE%\Documents\msedge.exe" 以实现持久化。
当在被早鸟注入的 msiexec.exe 执行后,与前文提到的shellcode加载dll执行流程相同,不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑,上线地址同样为:206.238.220.90:16037,在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器,后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块:"Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等,对应键盘监听,文件监控,屏幕监控,Shell命令执行等攻击模块。
总结
如今在复杂的网络环境下,网络钓鱼攻击不断增加和本身不断演变的性质,钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开,并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家,作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施,比如定期更新软件、避免打开不明链接和附件,目前毒霸已支持查杀。
IOCs(部分)
A3FD043C364D24FCE08095727AE115D0
E6A868C16B8CB2B7690D5ABB0486D7B8
9D5B13ECA172701C0F84EBC2D2CC2DBE
A68DA897C3A7AC8FF432170FF816DA27
206.238.220.90
https[:]//instq.libabacloud.com
http[:]//fyp-cn-jiagang.zxnaea.com:8002
https[:]//instq.libabacloud.com/
http[:]//fyp-cn-jiagang.zxnaea.com:8002/
http[:]//154.39.251.128/
http[:]//fdgdf.xyz:808/
http[:]//liutaoqpod.com:808/


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
郢都离人
发表于 2024-1-27 20:20:10 来自手机 | 显示全部楼层
网络安全形势依旧严峻
AwardedSheet616
发表于 2024-1-27 20:33:34 来自手机 | 显示全部楼层
怎么还是毒霸的,感觉毒霸不是挺摆的。
dght432
发表于 2024-1-27 20:38:30 来自手机 | 显示全部楼层
IOC没放图片里,这点比火绒好多了。
x-天秤座
发表于 2024-1-28 15:56:23 | 显示全部楼层
用冰盾+McafeeVSE(默认规则+自定义规则)实机解压执行了一下:第一次在规则控制下不允许联网,该程序直接无声无息了,然后打开网络权限,等待一会儿...,冰盾提示拦截了%USERPROFILE%\Documents的msedge.exe和%PROGRAMFILES%的msiexec.exe的执行命令---生成被VSE拦截了,然后显示Mcafee出现错误但没有被关闭,估计程序在不断远控生成那两个文件和关闭安全软件,电脑变卡顿----但是冰盾和VSE都没有被关闭,那两个文件在相应目录始终没有生成,后来不想等了就重启,重启后发现,无论是冰盾还是VSE的默认规则(自定义规则也漏了)都没有拦截到对注册表/SOFTWARE/Wow6432Node/Microsoft/Windows/CurrentVersion/Run的写入,也就是启动写入,然后把这个在冰盾和VSE的自定义规则里面补充了。
发现现在的恶意软件都喜欢远控在内存里执行,如果不能内存清除只有重启,不太好,如果是服务器那重启麻烦了。

评分

参与人数 1人气 +1 收起 理由
bambooslip + 1 感谢解答: )

查看全部评分

user114514
发表于 2024-1-28 16:44:26 | 显示全部楼层
蜘蛛阻断的阻断,隔离的隔离,kill all
小新爱打小怪兽
发表于 2024-1-29 09:29:30 | 显示全部楼层
AwardedSheet616 发表于 2024-1-27 20:33
怎么还是毒霸的,感觉毒霸不是挺摆的。

瘦死的骆驼比马大,多少还是有点技术积累,或者一些厉害的大佬存在,所以摆烂,但是又不是完全摆烂
x-天秤座
发表于 2024-1-29 18:00:03 | 显示全部楼层
user114514 发表于 2024-1-28 16:44
蜘蛛阻断的阻断,隔离的隔离,kill all

刚用蜘蛛扫描器试了一下确实能检测出来,McafeeVSE依旧检测无反应。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:16 , Processed in 0.127932 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表