近期毒霸安全團(tuán)隊(duì)監(jiān)測(cè)到一系列通過(guò)社交軟件和電子郵件傳播的稅務(wù),、醫(yī)療保險(xiǎn)等相關(guān)釣魚(yú)鏈接,，或文檔的攻擊活動(dòng),，攻擊者使用hfs搭建文件存儲(chǔ)服務(wù)，存放釣魚(yú)文檔和后階段PayLoad,。誘導(dǎo)用戶點(diǎn)擊下載后的文檔中的鏈接,。

通過(guò)hfs頁(yè)面的點(diǎn)擊次數(shù)可以看出受影響用戶廣泛,，以下是我們近期監(jiān)測(cè)到近期樹(shù)狼遠(yuǎn)控攻擊活動(dòng)趨勢(shì)，首次發(fā)現(xiàn)于2023年11月中旬,，根據(jù)其pdb名稱命名為”樹(shù)狼“,。

用戶下載后的文件一般以"查詢端口-客戶端"，"查詢?nèi)肟?quot;,，"電腦端查詢?nèi)肟?quot;等命名,，并偽裝WinRAR的圖標(biāo)，誘導(dǎo)用戶執(zhí)行,。當(dāng)用戶執(zhí)行后將會(huì)聯(lián)網(wǎng)拉取"樹(shù)狼"遠(yuǎn)控模塊,，這是一種基于gh0st的遠(yuǎn)控變種，后在內(nèi)存加載執(zhí)行,，后續(xù)遠(yuǎn)控端操作人員會(huì)根據(jù)目標(biāo)下發(fā)多個(gè)功能插件模塊進(jìn)行定向攻擊,。

該樣本使用[color=var(--weui-link)][url=]MFC[/url]編寫(xiě)，僅在對(duì)話框初始化函數(shù)中加入了少量的代碼以降低被查殺的概率,，啟動(dòng)后[過(guò)濾]面顯示,，創(chuàng)建線程使用TCP連接到206.238.220.90:16037，連接后發(fā)送HEX "33 32 00"后,，使用recv進(jìn)行接收一段[color=var(--weui-link)][url=]Shellcode[/url]并調(diào)用,。

接收的ShellCode中含有一個(gè)[color=var(--weui-link)][url=]dll文件[/url]，在執(zhí)行到shellcode后,，使用內(nèi)存加載,，該dll在內(nèi)存中加載起來(lái)，最終調(diào)用dll的導(dǎo)出函數(shù)"run",。pdb全路徑為："D:\HPWolftree+驗(yàn)證\Plugins\Release\online.pdb",。

在run導(dǎo)出函數(shù)內(nèi)，攻擊者根據(jù)判斷啟動(dòng)參數(shù),，準(zhǔn)備了兩個(gè)分支,。

在無(wú)參數(shù)分支中將自身文件復(fù)制到 %USERPROFILE%\documents\msedge.exe 中，并將系統(tǒng)文件的 %SystemRoot%\[color=var(--weui-link)][url=]System32[/url]\msiexec.exe 復(fù)制到 %PROGRAMFILES%\msiexec.exe,，利用系統(tǒng)文件msiexec本身也會(huì)合法進(jìn)行加載其他模塊的特性,，以試圖逃避用戶和安全系統(tǒng)的檢測(cè)。最終使用" -Puppet"參數(shù)進(jìn)行運(yùn)行并掛起進(jìn)程,，使用 APC 早鳥(niǎo)注入把 [color=var(--weui-link)][url=]msiexec[/url] 變?yōu)榭苓M(jìn)程,，注入的shellcode執(zhí)行后會(huì)進(jìn)行自反射加載執(zhí)行。

此外run函數(shù)內(nèi)會(huì)進(jìn)行調(diào)用打開(kāi)常見(jiàn)的殺毒軟件進(jìn)程,，并對(duì)其的程序Token權(quán)限進(jìn)行降權(quán)，后對(duì)殺軟進(jìn)程中的所有線程投遞WM_QUIT信息,，嘗試關(guān)閉以規(guī)避殺毒軟件的監(jiān)控,。

添加注冊(cè)表開(kāi)啟啟動(dòng)項(xiàng)"IsSystemUpgradeComponentRegistered",，項(xiàng)內(nèi)容為："%USERPROFILE%\documents\msedge.exe" 以實(shí)現(xiàn)持久化。

當(dāng)在被早鳥(niǎo)注入的 msiexec.exe 執(zhí)行后,，與前文提到的shellcode加載dll執(zhí)行流程相同,，不同點(diǎn)在于此次運(yùn)行時(shí)會(huì)根據(jù)參數(shù)為" -Puppet"而進(jìn)入遠(yuǎn)控加載的邏輯，上線地址同樣為：206.238.220.90:16037,，在上線后訪問(wèn) "http://whois.pconline.com.cn/ipJson.jsp" 獲取本機(jī)外網(wǎng)ip發(fā)送給服務(wù)器,，后續(xù)會(huì)循環(huán)等待攻擊發(fā)送的控制指令和模塊。根據(jù)我們的內(nèi)存防護(hù)監(jiān)測(cè)還發(fā)現(xiàn)下發(fā)了以下模塊："Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等,，對(duì)應(yīng)鍵盤(pán)監(jiān)聽(tīng),，文件監(jiān)控，屏幕監(jiān)控,，Shell命令執(zhí)行等攻擊模塊,。

如今在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)釣魚(yú)攻擊不斷增加和本身不斷演變的性質(zhì),，釣魚(yú)手段也越來(lái)越真實(shí)和有針對(duì)性,。利用壓縮軟件的圖標(biāo)吸引用戶打開(kāi)，并利用系統(tǒng)的機(jī)制攻擊殺毒軟件,。目前這些釣魚(yú)攻擊策略的隱蔽性和多樣性提醒大家,，作為網(wǎng)絡(luò)用戶保持警惕和提高安全意識(shí)至關(guān)重要。我們也建議用戶采取必要的預(yù)防措施,，比如定期更新軟件,、避免打開(kāi)不明鏈接和附件，目前毒霸已支持查殺,。

A3FD043C364D24FCE08095727AE115D0

E6A868C16B8CB2B7690D5ABB0486D7B8

9D5B13ECA172701C0F84EBC2D2CC2DBE

A68DA897C3A7AC8FF432170FF816DA27

206.238.220.90

https[:]//instq.libabacloud.com

http[:]//fyp-cn-jiagang.zxnaea.com:8002

https[:]//instq.libabacloud.com/

http[:]//fyp-cn-jiagang.zxnaea.com:8002/

http[:]//154.39.251.128/

http[:]//fdgdf.xyz:808/

http[:]//liutaoqpod.com:808/