bambooslip 发表于 2024-1-26 15:07

"树狼"来袭,针对企事业单位的新攻击


事件概述近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接,或文档的攻击活动,攻击者使用hfs搭建文件存储服务,存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。https://fj.kafan.cn/attachment/forum/202401/26/145228qk9p6cme2mm7vme2.png.thumb.jpg通过hfs页面的点击次数可以看出受影响用户广泛,以下是我们近期监测到近期树狼远控攻击活动趋势,首次发现于2023年11月中旬,根据其pdb名称命名为”树狼“。https://fj.kafan.cn/attachment/forum/202401/26/145243ps8vsfuushcls7uq.png.thumb.jpg
执行流程用户下载后的文件一般以"查询端口-客户端","查询入口","电脑端查询入口"等命名,并伪装WinRAR的图标,诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块,这是一种基于gh0st的远控变种,后在内存加载执行,后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。https://fj.kafan.cn/attachment/forum/202401/26/145253c90xidoi8z8e4o39.png.thumb.jpg
详细分析该样本使用MFC编写,仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率,启动后[过滤]面显示,创建线程使用TCP连接到206.238.220.90:16037,连接后发送HEX "33 32 00"后,使用recv进行接收一段Shellcode并调用。https://fj.kafan.cn/attachment/forum/202401/26/145308qp5naezm1wr05w3w.png.thumb.jpg接收的ShellCode中含有一个dll文件,在执行到shellcode后,使用内存加载,该dll在内存中加载起来,最终调用dll的导出函数"run"。pdb全路径为:"D:\HPWolftree+验证\Plugins\Release\online.pdb"。https://fj.kafan.cn/attachment/forum/202401/26/145319s5qxxmxmkwo96wf9.png.thumb.jpg在run导出函数内,攻击者根据判断启动参数,准备了两个分支。在无参数分支中将自身文件复制到 %USERPROFILE%\Documents\msedge.exe 中,并将系统文件的 %SystemRoot%\System32\msiexec.exe 复制到 %PROGRAMFILES%\msiexec.exe,利用系统文件msiexec本身也会合法进行加载其他模块的特性,以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程,使用 APC 早鸟注入把 msiexec 变为傀儡进程,注入的shellcode执行后会进行自反射加载执行。https://fj.kafan.cn/attachment/forum/202401/26/145328domfwsfb2fpfoyo2.png.thumb.jpg此外run函数内会进行调用打开常见的杀毒软件进程,并对其的程序Token权限进行降权,后对杀软进程中的所有线程投递WM_QUIT信息,尝试关闭以规避杀毒软件的监控。https://fj.kafan.cn/attachment/forum/202401/26/145338by9uo11kwgkukko1.png.thumb.jpg添加注册表开启启动项"IsSystemUpgradeComponentRegistered",项内容为:"%USERPROFILE%\Documents\msedge.exe" 以实现持久化。https://fj.kafan.cn/attachment/forum/202401/26/145351qgc5kx5rksch9rxx.png.thumb.jpg当在被早鸟注入的 msiexec.exe 执行后,与前文提到的shellcode加载dll执行流程相同,不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑,上线地址同样为:206.238.220.90:16037,在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器,后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块:"Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等,对应键盘监听,文件监控,屏幕监控,Shell命令执行等攻击模块。https://fj.kafan.cn/attachment/forum/202401/26/145405udilepeo0oeu4pun.png.thumb.jpg总结如今在复杂的网络环境下,网络钓鱼攻击不断增加和本身不断演变的性质,钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开,并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家,作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施,比如定期更新软件、避免打开不明链接和附件,目前毒霸已支持查杀。https://fj.kafan.cn/attachment/forum/202401/26/145423eng9n9v44i3rgvw8.png.thumb.jpgIOCs(部分)A3FD043C364D24FCE08095727AE115D0E6A868C16B8CB2B7690D5ABB0486D7B89D5B13ECA172701C0F84EBC2D2CC2DBEA68DA897C3A7AC8FF432170FF816DA27206.238.220.90https[:]//instq.libabacloud.comhttp[:]//fyp-cn-jiagang.zxnaea.com:8002https[:]//instq.libabacloud.com/http[:]//fyp-cn-jiagang.zxnaea.com:8002/http[:]//154.39.251.128/http[:]//fdgdf.xyz:808/http[:]//liutaoqpod.com:808/

海是倒过来的天 发表于 2024-1-26 16:37

说句不好听的话,几年前我一直觉得毒霸才是最大的毒瘤,广告弹窗等各种流氓方式。所以最近都对毒霸没什么好感,当然不可否认毒霸的安全人员对网络环境的维护

来自星星的我 发表于 2024-1-26 20:10

海是倒过来的天 发表于 2024-1-26 16:37
说句不好听的话,几年前我一直觉得毒霸才是最大的毒瘤,广告弹窗等各种流氓方式。所以最近都对毒霸没什么好 ...

360一个样,国产软件目前能用的也就火绒了,主打一个纯粹

Bennett77 发表于 2024-1-26 17:08

企事业单位还是要注意一下的,这些数据安全太重要了。

hecheng8677 发表于 2024-1-26 18:51

吾爱破解啦 发表于 2024-1-26 15:43
矛和盾都与时俱进

腹黑学:如果真的没有矛了,盾要了有何用?

吾爱破解啦 发表于 2024-1-26 15:43

矛和盾都与时俱进

hmilyw 发表于 2024-1-26 16:04

感谢分享,谢谢

sunzhw 发表于 2024-1-26 16:45

学习一下,感谢分享

虎皮辣椒 发表于 2024-1-26 17:30

楼主厉害~
学习一下,感谢分享

fisher 发表于 2024-1-26 18:51

认证搞一下啊

linzilinzi 发表于 2024-1-26 19:49

当然不可否认毒霸的安全人员对网络环境的维护{:1_918:}
页: [1] 2 3 4 5 6 7
查看完整版本: "树狼"来袭,针对企事业单位的新攻击