事件概述

近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接，或文档的攻击活动，攻击者使用hfs搭建文件存储服务，存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。

通过hfs页面的点击次数可以看出受影响用户广泛，以下是我们近期监测到近期树狼远控攻击活动趋势，首次发现于2023年11月中旬，根据其pdb名称命名为”树狼“。

执行流程

用户下载后的文件一般以"查询端口-客户端"，"查询入口"，"电脑端查询入口"等命名，并伪装WinRAR的图标，诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块，这是一种基于gh0st的远控变种，后在内存加载执行，后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

详细分析

该样本使用MFC编写，仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率，启动后无界面显示，创建线程使用TCP连接到206.238.220.90:16037，连接后发送HEX "33 32 00"后，使用recv进行接收一段Shellcode并调用。

接收的ShellCode中含有一个dll文件，在执行到shellcode后，使用内存加载，该dll在内存中加载起来，最终调用dll的导出函数"run"。pdb全路径为："D:HPWolftree+验证PluginsReleaseonline.pdb"。

在run导出函数内，攻击者根据判断启动参数，准备了两个分支。

在无参数分支中将自身文件复制到 %USERPROFILE%Documentsmsedge.exe 中，并将系统文件的 %SystemRoot%System32msiexec.exe 复制到 %PROGRAMFILES%msiexec.exe，利用系统文件msiexec本身也会合法进行加载其他模块的特性，以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程，使用 APC 早鸟注入把 msiexec 变为傀儡进程，注入的shellcode执行后会进行自反射加载执行。

此外run函数内会进行调用打开常见的杀毒软件进程，并对其的程序Token权限进行降权，后对杀软进程中的所有线程投递WM_QUIT信息，尝试关闭以规避杀毒软件的监控。

添加注册表开启启动项"IsSystemUpgradeComponentRegistered"，项内容为："%USERPROFILE%Documentsmsedge.exe" 以实现持久化。

当在被早鸟注入的 msiexec.exe 执行后，与前文提到的shellcode加载dll执行流程相同，不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑，上线地址同样为：206.238.220.90:16037，在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器，后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块："Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等，对应键盘监听，文件监控，屏幕监控，Shell命令执行等攻击模块。

总结

如今在复杂的网络环境下，网络钓鱼攻击不断增加和本身不断演变的性质，钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开，并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家，作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施，比如定期更新软件、避免打开不明链接和附件，目前毒霸已支持查杀。

IOCs(部分)

A3FD043C364D24FCE08095727AE115D0

E6A868C16B8CB2B7690D5ABB0486D7B8

9D5B13ECA172701C0F84EBC2D2CC2DBE

A68DA897C3A7AC8FF432170FF816DA27

206.238.220.90

https[:]//instq.libabacloud.com

http[:]//fyp-cn-jiagang.zxnaea.com:8002

https[:]//instq.libabacloud.com/

http[:]//fyp-cn-jiagang.zxnaea.com:8002/

http[:]//154.39.251.128/

http[:]//fdgdf.xyz:808/

http[:]//liutaoqpod.com:808/

原文始发于微信公众号（鹰眼威胁情报中心）：树狼来袭，针对企事业单位的新攻击