新黑产工具“雪狼”大肆攻击金融、科技等十数个行业

端点安全
2月前

近期,微步终端安全管理平台OneSEC捕获到了一个爆发式流行的黑产工具。经微步情报局拓线发现,此工具短短一个月间就被多个不同黑产团伙魔改,攻击数量呈指数性增长已有金融(银行、证券、保险等)、运营商、科技、教育、房地产及烟草等十多个行业受到“广撒网”攻击。


图片
图左为"雪狼"钓鱼文件样本增长趋势,图右为"雪狼"C2服务器增长趋势




快速增长的样本具备较强的同源性,关联的恶意钓鱼链接和远控地址变化速度也很快且数量较大。根据此工具攻势凶猛、变种众多的特点,微步将其取名为“雪狼”,并推测“雪狼”是继“银狐”之后,在黑产圈子中迅猛流行的一个新工具集


“雪狼”利用微信、QQ等IM工具投递“税务”、“稽查”、“抽查”等钓鱼文件或钓鱼链接,并以无文件攻击和迅速变化的样本和C2来绕过和对抗杀毒软件,具体分析如下:




防不胜防:利用微信投递钓鱼文件

“雪狼"大多借“税务”、“稽查”等之名,以微信投递钓鱼文件为主,也发现有利用微信发送钓鱼链接,和通过QQ投递钓鱼文件的行为。同时也捕获到通过邮箱投递以“律师函”为主题的钓鱼文件。下图展示了"雪狼"两种不同主题和投递方式的钓鱼文件内容:


图片
图 | “雪狼”利用微信投递钓鱼链接
图片
图 | “雪狼”以“律师函”为主题的钓鱼邮件



免杀简单粗暴,攻势迅猛

“雪狼”工具当前的主要特征包括: 

  1. 主要利用无文件攻击,通过加载远端Payload到内存中进行执行,绕过传统终端杀软; 
  2. Loader层面高频更新,其关联的钓鱼链接和C2也会快速更新,以对抗安全防御手段;
  3. 投递上的伪装和代码上的精细度不够,且“雪狼”现阶段的loader整体代码水平都较粗糙,不排除后续将会不断升级对抗水平;
  4. 远控部分修改自Gh0st远控,具备完整的:键盘记录,屏幕监控,环境检测,远程控制,信息窃取等功能,各个功能模块也都是插件式,可通过C2下发插件并执行相应的功能。


下面将展开介绍工具的部分技术特点:


1. 无文件攻击配合注入、持久化手段


"雪狼"钓鱼文件的运行过程是典型的无文件攻击,大致如下图:
图片
从上图看,钓鱼文件执行过程非常简单,大致如下:


  1. 钓鱼文件(上图中”第一阶段Loader“,下同)运行后,会联通C2下载payload,即恶意dll文件,并通过反射加载方式在内存中执行起来;

  2. Loader加载paylod后会启动msiexec.exe作为傀儡进程,并注入1中的dll文件;

  3. Loader会拷贝自身并进行持久化,通常通过设置系统服务来保持常驻;

  4. 被注入恶意dll后的傀儡进程msiexec.exe执行相应的恶意代码。需要说明的是,恶意dll会进行检测,只有当运行在msiexec.exe进程中时,才会真正执行远控功能;

  5. 连接C2,获取指令或下载木马,准备下一阶段攻击。


“雪狼”真正落盘的只有第一阶段的loader,在loader运行后,利用傀儡进程+DLL文件连接远控,并下载恶意代码在内存中运行,从而试图规避安全产品尤其是杀软的检测。


2. 高频更新,跑赢杀软


除了无文件攻击方式之外,"雪狼"的钓鱼文件自身也能有效对抗杀软。
钓鱼文件本身并没有太多功能模块,且实现方法多样,高频更新loader文件即可”跑赢“杀软,事实也证明,"雪狼"黑产工具被多个黑产团伙获得后,通常会进行魔改,这是其hash数量指数增长的主要原因。


3. 死循环,kill杀软


同时,钓鱼文件本身的代码之中也集成了对抗杀软的代码。钓鱼文件运行后会尝试退出杀软进程,但杀软进程退出时会自动重启,"雪狼"的应对方法相对简单粗暴:写一个死循环去kill杀软。如下图:
图片



并非无解,"雪狼"如何在终端侧检测?

新型威胁让终端安全面临着越来越艰巨的挑战,"雪狼"只是其中较为典型的一例。

高频变化的Loader和无文件攻击方式,让很多终端安全检测方式失效,但并非无解。运行恶意代码是所有病毒木马都绕不开的环节,而针对这些看似“高级”的攻击手段,EDR都可实现有效检出。想深入了解EDR是如何检测无文件攻击,可参考《无文件攻击,如何被EDR在1分钟内自动检出?》。

EDR是微步终端安全管理平台OneSEC中的核心模块之一,在一系列“雪狼”攻击事件中,OneSEC都率先检出了"雪狼"工具,不仅帮助企业及时发现威胁并处置,同时也再次展现了真正EDR的威力。下图是OneSEC对一起”雪狼“攻击事件的告警详情:

图片



"雪狼"黑产工具典型IOC(部分)

由于"雪狼"相关IOC数量多且更新极其频繁,我们将在微步全产品线进行分钟级的更新和同步,当前仅挑选部分典型IOC列举如下:

  • wwww.infoq.io
  • ewgqrg.com
  • bbyxow165.top
  • www.12366url.com
  • lusdfcn.com
  • bxpalxe175.top
  • gyxpwhg169.top
  • 154.91.64.52:11585
  • 103.45.128.116:16272
  • 156.253.14.119:12706


"雪狼"黑产工具该如何防御?


在防范“雪狼”方面,建议企业做好以下几点:


  1. 如果已经部署微步产品(TDP、TIP、OneSEC、OneSIG、OneDNS、OneSandBox等),请确保及时更新情报信息,以确保第一时间检测和防范老工具和新变种的攻击;
  2. 及时更新杀软特征库,以已知的木马进行有效查杀;
  3. 考虑到该工具变化极快以及对抗会不断升级,为有效应对新对抗手法,在终端侧补足或提高EDR检测能力;
  4. 开展员工自查,对已经点击来源不明的链接、邮件或者文件的员工,机器进行及时的清理,对应员工的关键账号及时进行账密的修改,通知加强员工安全意识培训,注意甄别钓鱼邮件和钓鱼链接。