“狼人杀"是当今火爆的策略推理游戏，分为狼人和平民两大阵营，通过夜间行动和白天讨论，各自运用策略和口才来识别和排除对方，以达到胜利条件。

众所周知，紧张万分的攻防演练期间，网络安全的战场就像一场没有硝烟的“狼人杀”。红方拼命“刀”平民，蓝方群起而反之。

“平民”客服：为什么受伤的总是我

最近，某司客服小李就遭遇了一次“狼人杀”版钓鱼，作为客服人员，他每天要接触许多人员，有已购用户、有潜在客户、还有别有居心的“钓鱼佬”...

客服小李的聊天对话框动了一下，一个看似无害的PPT文档图标发送了过来，“投诉建议.exe”，身为社畜的小李看到关键词“投诉”，出于本能双击打开了该文件。

然而，文件并没有按照他以为打开的那样，罗列出投诉建议，反而弹出一个文件已损坏的对话框。

与此同时，公司安全部小王收到了亿格云枢EDR的紧急告警，引起了团队高度重视！

这是7月发生在某上市企业攻防演练中的真实事件，一次对企业客服员工进行的伪装式钓鱼攻击！

在攻防演练期间，诸如此类的钓鱼行为防不胜防，电子邮件、假冒网站、社交软件都有可能被钓鱼者渗透，他们经常利用工作职能相关的文件包装成木马文件，针对性“点对点”钓鱼！

检测、响应、分析一手抓

小王所在的安全团队立马联系亿格云安全团队进行进一步分析。通过对样本采集，团队分析发现：该木马程序伪装成PPT的icon来迷惑客服小李。

其使用了一个已过期的恶意签名证书（序列号0b886032861d9553c68f803313a98975），经过调查，该证书之前已应用于多个恶意软件，已经被吊销。

同时，亿格云发现，为了躲避防御，该木马程序进行了ETW相关函数（NtTraceEvent）以及AMSI相关函数（AmsiScanBuffer）的PATCH来绕过常规EDR的采集监控。

按以往看，EDR的出现，已经在很大程度上弥补了终端安全防护的缺失。他们通过实时监控、行为分析和自动化响应来检测、评估并对抗终端设备上的潜在威胁。

但显而易见，钓鱼者已有“破解”常规EDR的方式了。

在分析过程中，亿格云安全团队还原了该木马程序真实的执行路径：

ShellCode下载与执行

从一个大的CDN IP列表中遍历下载shellcode，此处该程序利用了某CDN未校验加速域名归属的问题，内置了一批CDN IP, 使用域前置技术，指定加速域名HOST，流量中没有真正的恶意IP相关痕迹，来规避了对于外连IP/流量相关的检测。

亿格云安全团队下载对应的Shellcode后，呈现出来了加密的Shellcode：

钓鱼木马对下载的shellcode进行了简单的校验以及异或解密：

解密后可以获取真正的shellcode。

该钓鱼木马程序利用WMI查询获取到explorer进程ID，并打开进程进行注入。下图是亿格云枢EDR捕获的内存操作行为：

其中注入的部分使用了https://github.com/Uri3n/Thread-Pool-Injection-PoC库。

其中使用了PoolParty的ALPC变体来避免了创建远程线程/APC 等常见被常规EDR监控的触发执行方式。

经过深度分析，Shellcode部分为BokuLoader https://github.com/boku7/BokuLoader,加载了CobaltStrike Beacon

IOC

b4640713c9220e3b86a62beaa2055f9ac86a8e2b16341c0e8f20d24bd7ed48eb

5abd5750e6ebb772c97fe41bd35cf35a501d4295d4237d1adae4527b5dfef770

至此，一个“诡计多端”的木马伪装文件事件顺利告破，为该上市企业挽回了不可估量的损失！如若木马程序在客服小李的终端顺利运行，那毫无疑问，“狼人”钓鱼者将直接拥有这台终端的控制权，其后果不堪设想。