吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7957|回复: 63
收起左侧

[转载] "树狼"来袭,针对企事业单位的新攻击

  [复制链接]
bambooslip 发表于 2024-1-26 15:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
事件概述
近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接,或文档的攻击活动,攻击者使用hfs搭建文件存储服务,存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。
通过hfs页面的点击次数可以看出受影响用户广泛,以下是我们近期监测到近期树狼远控攻击活动趋势,首次发现于2023年11月中旬,根据其pdb名称命名为”树狼“。

执行流程
用户下载后的文件一般以"查询端口-客户端","查询入口","电脑端查询入口"等命名,并伪装WinRAR的图标,诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块,这是一种基于gh0st的远控变种,后在内存加载执行,后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

详细分析
该样本使用[color=var(--weui-LINK)][url=]MFC[/url]编写,仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率,启动后[过滤]面显示,创建线程使用TCP连接到206.238.220.90:16037,连接后发送HEX "33 32 00"后,使用recv进行接收一段[color=var(--weui-LINK)][url=]Shellcode[/url]并调用。
接收的ShellCode中含有一个[color=var(--weui-LINK)][url=]dll文件[/url],在执行到shellcode后,使用内存加载,该dll在内存中加载起来,最终调用dll的导出函数"run"。pdb全路径为:"D:\HPWolftree+验证\Plugins\Release\online.pdb"。
在run导出函数内,攻击者根据判断启动参数,准备了两个分支。
在无参数分支中将自身文件复制到 %USERPROFILE%\Documents\msedge.exe 中,并将系统文件的 %SystemRoot%\[color=var(--weui-LINK)][url=]System32[/url]\msiexec.exe 复制到 %PROGRAMFILES%\msiexec.exe,利用系统文件msiexec本身也会合法进行加载其他模块的特性,以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程,使用 APC 早鸟注入把 [color=var(--weui-LINK)][url=]msiexec[/url] 变为傀儡进程,注入的shellcode执行后会进行自反射加载执行。
此外run函数内会进行调用打开常见的杀毒软件进程,并对其的程序Token权限进行降权,后对杀软进程中的所有线程投递WM_QUIT信息,尝试关闭以规避杀毒软件的监控。
添加注册表开启启动项"IsSystemUpgradeComponentRegistered",项内容为:"%USERPROFILE%\Documents\msedge.exe" 以实现持久化。
当在被早鸟注入的 msiexec.exe 执行后,与前文提到的shellcode加载dll执行流程相同,不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑,上线地址同样为:206.238.220.90:16037,在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器,后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块:"Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等,对应键盘监听,文件监控,屏幕监控,Shell命令执行等攻击模块。
总结
如今在复杂的网络环境下,网络钓鱼攻击不断增加和本身不断演变的性质,钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开,并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家,作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施,比如定期更新软件、避免打开不明链接和附件,目前毒霸已支持查杀。
IOCs(部分)
A3FD043C364D24FCE08095727AE115D0
E6A868C16B8CB2B7690D5ABB0486D7B8
9D5B13ECA172701C0F84EBC2D2CC2DBE
A68DA897C3A7AC8FF432170FF816DA27
206.238.220.90
https[:]//instq.libabacloud.com
http[:]//fyp-cn-jiagang.zxnaea.com:8002
https[:]//instq.libabacloud.com/
http[:]//fyp-cn-jiagang.zxnaea.com:8002/
http[:]//154.39.251.128/
http[:]//fdgdf.xyz:808/
http[:]//liutaoqpod.com:808/

免费评分

参与人数 12吾爱币 +11 热心值 +11 收起 理由
xiaobs3c + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
BotanistGeneva + 1 + 1 热心回复!
153657228401 + 1 + 1 谢谢@Thanks!
jstar + 1 谢谢@Thanks!
liulei2660 + 1 + 1 用心讨论,共获提升!
GeorgeBean + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
soughing + 1 + 1 我很赞同!
UNline + 1 谢谢@Thanks!
cfl300 + 1 + 1 热心回复!
yp17792351859 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fontic + 1 + 1 谢谢@Thanks!
天王盖地虎a + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

海是倒过来的天 发表于 2024-1-26 16:37
说句不好听的话,几年前我一直觉得毒霸才是最大的毒瘤,广告弹窗等各种流氓方式。所以最近都对毒霸没什么好感,当然不可否认毒霸的安全人员对网络环境的维护
来自星星的我 发表于 2024-1-26 20:10
海是倒过来的天 发表于 2024-1-26 16:37
说句不好听的话,几年前我一直觉得毒霸才是最大的毒瘤,广告弹窗等各种流氓方式。所以最近都对毒霸没什么好 ...

360一个样,国产软件目前能用的也就火绒了,主打一个纯粹
Bennett77 发表于 2024-1-26 17:08
企事业单位还是要注意一下的,这些数据安全太重要了。
hecheng8677 发表于 2024-1-26 18:51

腹黑学:如果真的没有矛了,盾要了有何用?
吾爱破解啦 发表于 2024-1-26 15:43
矛和盾都与时俱进
hmilyw 发表于 2024-1-26 16:04
感谢分享,谢谢
sunzhw 发表于 2024-1-26 16:45
学习一下,感谢分享
虎皮辣椒 发表于 2024-1-26 17:30
楼主厉害~
学习一下,感谢分享
fisher 发表于 2024-1-26 18:51
认证搞一下啊
linzilinzi 发表于 2024-1-26 19:49
当然不可否认毒霸的安全人员对网络环境的维护
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 12:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表