新黑产工具雪狼大肆攻击金融、科技等十数个行业（附相关情报）

近期，微步终端安全管理平台OneSEC捕获到了一个爆发式流行的黑产工具。经微步情报局拓线发现，此工具短短一个月间就被多个不同黑产团伙魔改，攻击数量呈指数性增长，已有金融（银行、证券、保险等）、运营商、科技、教育、房地产及烟草等十多个行业受到“广撒网”攻击。

图左为"雪狼"钓鱼文件样本增长趋势，图右为"雪狼"C2服务器增长趋势

快速增长的样本具备较强的同源性，关联的恶意钓鱼链接和远控地址变化速度也很快且数量较大。根据此工具攻势凶猛、变种众多的特点，微步将其取名为“雪狼”，并推测“雪狼”是继“银狐”之后，在黑产圈子中迅猛流行的一个新工具集。

“雪狼”利用微信、QQ等IM工具投递“税务”、“稽查”、“抽查”等钓鱼文件或钓鱼链接，并以无文件攻击和迅速变化的样本和C2来绕过和对抗杀毒软件，具体分析如下：

防不胜防：利用微信投递钓鱼文件

图 | “雪狼”利用微信投递钓鱼链接

图 | “雪狼”以“律师函”为主题的钓鱼邮件

“雪狼”工具当前的主要特征包括：

主要利用无文件攻击，通过加载远端Payload到内存中进行执行，绕过传统终端杀软；
Loader层面高频更新，其关联的钓鱼链接和C2也会快速更新，以对抗安全防御手段；
投递上的伪装和代码上的精细度不够，且“雪狼”现阶段的loader整体代码水平都较粗糙，不排除后续将会不断升级对抗水平；
远控部分修改自Gh0st远控，具备完整的：键盘记录，屏幕监控，环境检测，远程控制，信息窃取等功能，各个功能模块也都是插件式，可通过C2下发插件并执行相应的功能。

下面将展开介绍工具的部分技术特点：

1. 无文件攻击配合注入、持久化手段

"雪狼"钓鱼文件的运行过程是典型的无文件攻击，大致如下图：

从上图看，钓鱼文件执行过程非常简单，大致如下：

钓鱼文件（上图中”第一阶段Loader“，下同）运行后，会联通C2下载payload，即恶意dll文件，并通过反射加载方式在内存中执行起来；
Loader加载paylod后会启动msiexec.exe作为傀儡进程，并注入1中的dll文件；
Loader会拷贝自身并进行持久化，通常通过设置系统服务来保持常驻；
被注入恶意dll后的傀儡进程msiexec.exe执行相应的恶意代码。需要说明的是，恶意dll会进行检测，只有当运行在msiexec.exe进程中时，才会真正执行远控功能；
连接C2，获取指令或下载木马，准备下一阶段攻击。

“雪狼”真正落盘的只有第一阶段的loader，在loader运行后，利用傀儡进程+DLL文件连接远控，并下载恶意代码在内存中运行，从而试图规避安全产品尤其是杀软的检测。

2. 高频更新，跑赢杀软

除了无文件攻击方式之外，"雪狼"的钓鱼文件自身也能有效对抗杀软。

钓鱼文件本身并没有太多功能模块，且实现方法多样，高频更新loader文件即可”跑赢“杀软，事实也证明，"雪狼"黑产工具被多个黑产团伙获得后，通常会进行魔改，这是其hash数量指数增长的主要原因。

3. 死循环，kill杀软

同时，钓鱼文件本身的代码之中也集成了对抗杀软的代码。钓鱼文件运行后会尝试退出杀软进程，但杀软进程退出时会自动重启，"雪狼"的应对方法相对简单粗暴：写一个死循环去kill杀软。如下图：

高频变化的Loader和无文件攻击方式，让很多终端安全检测方式失效，但并非无解。运行恶意代码是所有病毒木马都绕不开的环节，而针对这些看似“高级”的攻击手段，EDR都可实现有效检出。想深入了解EDR是如何检测无文件攻击，可参考《》。

EDR是微步终端安全管理平台OneSEC中的核心模块之一，在一系列“雪狼”攻击事件中，OneSEC都率先检出了"雪狼"工具，不仅帮助企业及时发现威胁并处置，同时也再次展现了真正EDR的威力。下图是OneSEC对一起”雪狼“攻击事件的告警详情：

由于"雪狼"相关IOC数量多且更新极其频繁，我们将在微步全产品线进行分钟级的更新和同步，当前仅挑选部分典型IOC列举如下：

在防范“雪狼”方面，建议企业做好以下几点：

如果已经部署微步产品（TDP、TIP、OneSEC、OneSIG、OneDNS、OneSandBox等），请确保及时更新情报信息，以确保第一时间检测和防范老工具和新变种的攻击；
及时更新杀软特征库，以已知的木马进行有效查杀；
考虑到该工具变化极快以及对抗会不断升级，为有效应对新对抗手法，在终端侧补足或提高EDR检测能力；
开展员工自查，对已经点击来源不明的链接、邮件或者文件的员工，机器进行及时的清理，对应员工的关键账号及时进行账密的修改，通知加强员工安全意识培训，注意甄别钓鱼邮件和钓鱼链接。

了解防范"雪狼"工具的更多办法

扫码在线沟通

↓↓↓

· END ·