近期，微步终端安全管理平台OneSEC捕获到了一个爆发式流行的黑产工具。经微步情报局拓线发现，此工具短短一个月间就被多个不同黑产团伙魔改，攻击数量呈指数性增长，已有金融（银行、证券、保险等）、运营商、科技、教育、房地产及烟草等十多个行业受到“广撒网”攻击。

“雪狼”利用微信、QQ等IM工具投递“税务”、“稽查”、“抽查”等钓鱼文件或钓鱼链接，并以无文件攻击和迅速变化的样本和C2来绕过和对抗杀毒软件，具体分析如下：

防不胜防：利用微信投递钓鱼文件

“雪狼"大多借“税务”、“稽查”等之名，以微信投递钓鱼文件为主，也发现有利用微信发送钓鱼链接，和通过QQ投递钓鱼文件的行为。同时也捕获到通过邮箱投递以“律师函”为主题的钓鱼文件。下图展示了"雪狼"两种不同主题和投递方式的钓鱼文件内容：

免杀简单粗暴，攻势迅猛

“雪狼”工具当前的主要特征包括： 

1. 主要利用无文件攻击，通过加载远端Payload到内存中进行执行，绕过传统终端杀软； 
2. Loader层面高频更新，其关联的钓鱼链接和C2也会快速更新，以对抗安全防御手段；
3. 投递上的伪装和代码上的精细度不够，且“雪狼”现阶段的loader整体代码水平都较粗糙，不排除后续将会不断升级对抗水平；
4. 远控部分修改自Gh0st远控，具备完整的：键盘记录，屏幕监控，环境检测，远程控制，信息窃取等功能，各个功能模块也都是插件式，可通过C2下发插件并执行相应的功能。

1. 无文件攻击配合注入、持久化手段

1. 钓鱼文件（上图中”第一阶段Loader“，下同）运行后，会联通C2下载payload，即恶意dll文件，并通过反射加载方式在内存中执行起来；

2. Loader加载paylod后会启动msiexec.exe作为傀儡进程，并注入1中的dll文件；

3. Loader会拷贝自身并进行持久化，通常通过设置系统服务来保持常驻；

4. 被注入恶意dll后的傀儡进程msiexec.exe执行相应的恶意代码。需要说明的是，恶意dll会进行检测，只有当运行在msiexec.exe进程中时，才会真正执行远控功能；

5. 连接C2，获取指令或下载木马，准备下一阶段攻击。

2. 高频更新，跑赢杀软

3. 死循环，kill杀软

并非无解，"雪狼"如何在终端侧检测？

新型威胁让终端安全面临着越来越艰巨的挑战，"雪狼"只是其中较为典型的一例。

高频变化的Loader和无文件攻击方式，让很多终端安全检测方式失效，但并非无解。运行恶意代码是所有病毒木马都绕不开的环节，而针对这些看似“高级”的攻击手段，EDR都可实现有效检出。想深入了解EDR是如何检测无文件攻击，可参考《无文件攻击，如何被EDR在1分钟内自动检出？》。

EDR是微步终端安全管理平台OneSEC中的核心模块之一，在一系列“雪狼”攻击事件中，OneSEC都率先检出了"雪狼"工具，不仅帮助企业及时发现威胁并处置，同时也再次展现了真正EDR的威力。下图是OneSEC对一起”雪狼“攻击事件的告警详情：

"雪狼"黑产工具典型IOC（部分）

由于"雪狼"相关IOC数量多且更新极其频繁，我们将在微步全产品线进行分钟级的更新和同步，当前仅挑选部分典型IOC列举如下：

• wwww.infoq.io
• ewgqrg.com
• bbyxow165.top
• www.12366url.com
• lusdfcn.com
• bxpalxe175.top
• gyxpwhg169.top
• 154.91.64.52:11585
• 103.45.128.116:16272
• 156.253.14.119:12706

"雪狼"黑产工具该如何防御？

1. 如果已经部署微步产品（TDP、TIP、OneSEC、OneSIG、OneDNS、OneSandBox等），请确保及时更新情报信息，以确保第一时间检测和防范老工具和新变种的攻击；
2. 及时更新杀软特征库，以已知的木马进行有效查杀；
3. 考虑到该工具变化极快以及对抗会不断升级，为有效应对新对抗手法，在终端侧补足或提高EDR检测能力；
4. 开展员工自查，对已经点击来源不明的链接、邮件或者文件的员工，机器进行及时的清理，对应员工的关键账号及时进行账密的修改，通知加强员工安全意识培训，注意甄别钓鱼邮件和钓鱼链接。