● 背景 ●

最近一段时间，腾讯安全科恩实验室威胁情报中心对钓鱼木马类攻击事件进行了跟进，并着重关注了社交软件、邮件附件等传播渠道的发展趋势。通过对相关样本的动态沙箱行为分析、威胁情报关联比对，获取了最新的威胁线索。

最新发现的一批钓鱼样本包含了财务，税务主题的MSI打包文件，以及最新的桃色新闻事件等，以作为诱饵文件进行传播。钓鱼母体文件首先从某云平台下载图片和dat后缀文件，通过白加黑加进程注入的方式启动恶意代码，安装名为Sauron(中文名"索伦")的服务进行持久化，并且尝试请求DGA域名，分析发现该批次远控程序大都通过8800、7000端口与C2地址进行通信，科恩实验室根据木马使用的互斥体和服务名特点，将其命名为 "索伦" 木马。

腾讯安全科恩实验室提醒企事业单位及个人用户，不要因为好奇而随意点开各类通信软件、群聊中包含"XXX新闻"等关键词的文件，特别是后缀名称为”.exe“的执行文件，因为这很可能是黑客投递的钓鱼木马，如果点击执行将造成不必要的损失。样例文件如下图所示：

钓鱼文件样例整理

1.诱饵MSI文件：

- 2024年*****局企业补贴政策通知.msi

- 资料全套.msi

- 2024财会人员补贴所需材料.msi

- 3月1日退税步骤详情.msi

- 2024年XXX局企业补贴政策通知.msi

2.诱饵压缩包：

- ** 集团一女员工被丈夫举报与领导通J聚众Y乱.rar

- **集团一女员工被丈夫举报与领导通J聚众Y乱(1).rar

- (密码123)原版视频.zip

- (密码123)原版视频(1).zip

解压出文件：

- 原版视频MP4.exe

- 原版MP4.exe

- 原版视频.exe

- 2024mp4.exe

- (密码123)原版视频.exe

- 原版视频.zip

- **集团一女员工被丈夫举报与领导通J聚众Y乱.exe

- 高中女老师出轨16岁学生.exe

技术分析

第一种诱饵文件为msi包，具体文件名会包含“财务”，“税务”等关键词，msi安装时通过命令释放和启动病毒母体dllhost.exe

第二种诱饵文件以"xxx视频.exe"命名，功能与dllhost.exe一致，都属于病毒母体。在母体文件运行后，首先从云服务平台下载多个文件，如下所示：

- https ://lldwt-oss.oss-cn-beijing.a**yuncs[.]com/b.dat

- https://lldwt-oss.oss-cn-beijing.a**yuncs[.]com/1.png

- https://lldwt-oss.oss-cn-beijing.a**yuncs[.]com/2.png

- https://lldwt-oss.oss-cn-beijing.a**yuncs[.]com/3.png

- https://lldwt-oss.oss-cn-beijing.a**yuncs[.]com/4.png

然后，在C盘根目录以及ProgramData，Microsoft目录下创建文件，并通过cmd命令启动如下文件：

- C:\xx.exe

- C:\ProgramData\xxx.rar

- C:\ProgramData\xxxx\xxx.rar

- C:\ProgramData\xxxx\xxx.exe

- C:\Microsoft\iXXX3XXX.dat

在用户的“公用视频”目录下，将释放4个文件：包含1个随机名exe，1个DLL文件，2个非PE后缀文件。其中，DLL和非PE后缀文件每次文件md5不一样。4个文件示例如下：

- 4OY.exe（hash：AE105528A6C5758CCF18705A8C208A97）

- ClassicExplorer32.dll （hash：6D9B14409057F0606F9082B5A8BEF13C） （md5对抗）

- ffff.lop （hash：91D7406CF794F1A2566C4CFD8A1A92EA） （md5对抗）

- ffff.pol （hash：35162C68560C91D773E4783929F2C9AC） （md5对抗）

其中，4OY.exe是具有数字签名(失效状态)的白文件，是Windows资源管理器的一个插件ClassicExplorerSettings。该文件被安装计划任务启动，运行后会通过白+黑加载同目录下的恶意模块ClassicExplorer32.dll。

ClassicExplorer32.dll被加载后，调用导出函数ShowExplorerSettings。

获取当前进程ID并OpenProcess后，通过WriteProcessMemory将恶意代码注入当前进程。

继续通过CreateRemoteThread执行注入的恶意代码：

读取ffff.pol到内存：

修复PE文件头：

内存加载PE执行后，首先将母体样本生成的中间文件进行清理：

然后检测是否存在调试软件/杀毒软件：

写注册表Run启动项SOFTWARE\Microsoft\Windows\CurrentVersion\Run

安装服务，服务名为"Sauron"，同时也会创建名为"23.234.37[.]182:8800:Sauron"的互斥体。"Sauron"中文译为“索伦”，是《魔戒》中的一个重要角色。

连接C2地址23.234.37[.]182[:]8800

接收服务端命令，执行各类远程控制操作

附录相关IOC

样本SHA256

EXE类

287e159f1e869a55f415cecce35a4675be624ba8ae701c23f8370c1445070d97

f65b1e283df0a8652a51699e09ffbb0fe5ca924e5fe90318901d0374ec4d73f7

5cfebd38c9ae4488feab76db086d8a6496fd47350c43fdd480475af76d164070

506a9d93ff78b1e530d496617a522a891cc4d9ef5d34d1a6932352eb1e14347e