最新国产福利在线_午夜国产日韩欧美一区_国产精品青青在线观看爽_日本免费自拍亚洲_亚洲第一无码在线观看_色噜噜狠狠爱综合视频_亚洲av免费观看在新更新_久久久免费观成人影院_别揉我奶头~嗯~啊~少妇视频_福利视频一区二区牛牛

新聞資訊
行業(yè)動(dòng)態(tài)

首頁 > 行業(yè)動(dòng)態(tài)

火絨華南銷售及服務(wù)中心 | 聚焦銀狐丨探究病毒肆虐傳播背后隱藏的迭代玄機(jī)

隨著數(shù)字化進(jìn)程的加速,網(wǎng)絡(luò)已經(jīng)深度融入社會(huì)各層面,在極大地促進(jìn)了信息交流與經(jīng)濟(jì)發(fā)展的同時(shí),也滋生了大量網(wǎng)絡(luò)犯罪活動(dòng),為網(wǎng)絡(luò)安全領(lǐng)域帶來了嚴(yán)峻挑戰(zhàn)。自2021年起,“銀狐”團(tuán)伙在網(wǎng)絡(luò)世界中悄然崛起。作為活躍在黑色產(chǎn)業(yè)鏈中的犯罪團(tuán)伙,其制作的“銀狐”木馬病毒不斷演變升級(jí),憑借高度一致的技術(shù)手段與攻擊策略,對(duì)企業(yè)和個(gè)人造成持續(xù)性威脅。本文將梳理“銀狐”木馬的迭代過程和傳播方式,并進(jìn)行溯源分析,期望大家能夠深入了解此類病毒,提高警惕,防止遭受攻擊。

銀狐團(tuán)伙的黑色產(chǎn)業(yè)鏈廣泛滲透至金融、詐騙、政府機(jī)構(gòu)及多個(gè)行業(yè)領(lǐng)域。從2021年直至2024年12月,“銀狐”木馬活動(dòng)顯著增多,且始終保持相當(dāng)高的活躍度。起初,“銀狐”組織將目標(biāo)鎖定在企業(yè)與機(jī)構(gòu)中的關(guān)鍵崗位人員,如管理層、財(cái)務(wù)部門、銷售團(tuán)隊(duì)以及電子商務(wù)從業(yè)者,通過定向釣魚攻擊獲取敏感信息。隨著時(shí)間的推移,銀狐病毒高效的攻擊模式與成功的示范效應(yīng)逐漸引起其他網(wǎng)絡(luò)犯罪分子的關(guān)注,他們開始模仿其攻擊手段并進(jìn)行傳播,導(dǎo)致全球范圍內(nèi)類似攻擊事件頻發(fā)。不同于傳統(tǒng)釣魚木馬攻擊,“銀狐”木馬采用更為隱蔽的多級(jí)白進(jìn)程劫持技術(shù)進(jìn)行搭載。如今,不僅企業(yè)和機(jī)構(gòu)深受其害,普通網(wǎng)民也面臨著日益嚴(yán)峻的安全威脅。

火絨終端威脅情報(bào)系統(tǒng)的監(jiān)測(cè)數(shù)據(jù)顯示,“銀狐”團(tuán)伙在過去一年多,始終保持高度活躍,每月攻擊頻率呈現(xiàn)增高趨勢(shì),受害設(shè)備數(shù)量以每月數(shù)萬臺(tái)計(jì)。尤其是在2023年底,其攻擊事件顯著增長,這一攻擊趨勢(shì)在2024年仍在延續(xù),且其影響范圍也在不斷擴(kuò)大。

圖片

銀狐事件曲線


通過對(duì)近期發(fā)現(xiàn)的“銀狐”木馬進(jìn)行分析,得知其主要采用Win0s作為后門模塊,以實(shí)現(xiàn)對(duì)用戶電腦活動(dòng)的監(jiān)控。通過網(wǎng)上泄露的源代碼可以看到,這類后門已具備鍵盤記錄、查看屏幕(高速屏幕、娛樂屏幕、后臺(tái)屏幕)、攝像頭查看、文件管理、語音監(jiān)聽、遠(yuǎn)程終端執(zhí)行、系統(tǒng)管理、驅(qū)動(dòng)插件、注冊(cè)表管理、壓力測(cè)試等功能。

圖片

源代碼對(duì)比圖

圖片

Win0s 功能圖


IP-Guard等行為管理軟件本身是用于企業(yè)內(nèi)部管理的工具,具備記錄電腦日常操作的功能。而“銀狐”組織利用這類軟件,能夠獲取用戶電腦的更多權(quán)限,從而記錄用戶電腦的日常操作,包括瀏覽網(wǎng)站、社交通信消息記錄、文件外發(fā)跟蹤、電子郵件劫持、智能截圖、文件操作、打印機(jī)日志、剪貼板記錄、屏幕錄像等。因此,一旦“銀狐”組織成功取得用戶電腦的控制權(quán),便會(huì)通過類似軟件對(duì)木馬進(jìn)行更深層次的傳播。
“銀狐”團(tuán)伙通過控制受害者的電腦屏幕,在社交平臺(tái)(如微信、釘釘、企業(yè)微信)上實(shí)施一系列精心設(shè)計(jì)的操作,包括:

  1. 群聊傳播木馬:控制電腦屏幕將惡意木馬文件轉(zhuǎn)發(fā)至群聊,誘導(dǎo)群成員點(diǎn)擊下載。一旦木馬被運(yùn)行,更多設(shè)備可能被感染,之后,迅速退出群聊以降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。

  2. 冒充上級(jí)實(shí)施詐騙:控制領(lǐng)導(dǎo)社交賬號(hào)或管理人員,單獨(dú)創(chuàng)建新群,假借緊急事務(wù)或企業(yè)內(nèi)部需求,誘騙財(cái)務(wù)人員轉(zhuǎn)賬或泄露敏感信息。

這種手法結(jié)合了高度針對(duì)性的社會(huì)工程學(xué)攻擊,不僅能實(shí)現(xiàn)惡意木馬的快速傳播,還會(huì)導(dǎo)致受害者損失慘重。本文后續(xù)將會(huì)針對(duì)此類木馬進(jìn)行詳細(xì)分析。

圖片

IP-Guard 群聊傳播

圖片

群聊二次傳播

圖片

控制社交平臺(tái)詐騙

圖片

Ping32 功能圖



木馬傳播方式

“銀狐”木馬在傳播過程中展現(xiàn)出高度的社工性和靈活性,以下是其主要傳播途徑:

1.定向政企財(cái)務(wù)釣魚郵件

  • 郵件偽裝:通過偽裝成看似合法的發(fā)件人身份(如供應(yīng)商、合作伙伴或客戶)發(fā)送含有惡意附件或鏈接的郵件。這些附件通常以PDF、Word、Excel等常見文檔格式出現(xiàn),并會(huì)利用社會(huì)工程手段誘使受害者將其打開。

  • 宏代碼攻擊:如果附件是Office文件,則常常嵌入有惡意宏代碼。一旦啟用宏功能,這些惡意腳本就會(huì)被執(zhí)行,進(jìn)而下載和安裝木馬程序。

圖片

圖片

釣魚郵件


2.偽造應(yīng)用下載網(wǎng)頁并推廣

  • 假冒合法應(yīng)用:創(chuàng)建高仿的應(yīng)用下載頁面,偽裝為熱門工具、游戲或辦公軟件,誘騙受害者下載含有木馬的應(yīng)用程序。

  • 搜索引擎廣告投放:通過購買廣告位或優(yōu)化搜索引擎排名,使偽造頁面出現(xiàn)在搜索結(jié)果前列,從而提高受害者下載惡意程序的概率。

圖片

圖片

釣魚網(wǎng)頁


3.網(wǎng)頁掛馬

  • 水坑攻擊:在政企人員頻繁訪問的網(wǎng)站或論壇中植入惡意代碼,受害者一旦訪問,瀏覽器會(huì)自動(dòng)下載并執(zhí)行木馬程序。

  • 廣告劫持:利用惡意廣告注入技術(shù),在正常網(wǎng)頁的廣告彈窗分發(fā)木馬。

4.色情信息誘導(dǎo)

  • 誘導(dǎo)下載:利用偽裝成色情視頻、圖片等資源的鏈接和附件,引誘受害者下載惡意文件。

  • 釣魚網(wǎng)站:搭建釣魚網(wǎng)站并將其偽裝成色情網(wǎng)站,受害者在訪問或嘗試下載內(nèi)容時(shí)會(huì)被植入木馬。

圖片

色情引誘


5.游戲資源傳播

  • 盜版游戲私服:通過私服游戲客戶端或外掛工具捆綁木馬程序,吸引受害者下載。

  • 論壇分享:在游戲論壇或社群中發(fā)布偽裝成游戲補(bǔ)丁、福利資源的木馬程序,誘導(dǎo)受害者下載。

圖片

游戲私服


6.常見web Nday漏洞

  • 已知漏洞攻擊:利用受害者使用的網(wǎng)站中常見的Nday漏洞(如Struts2、Log4j、WebLogic等)直接植入木馬,入侵受害者系統(tǒng)。

  • 工具化攻擊:借助自動(dòng)化漏洞掃描工具批量檢測(cè)受害者系統(tǒng),并在漏洞存在時(shí)植入惡意程序。

7.社交信息

  • 鍵盤和鼠標(biāo)劫持:通過木馬獲取受害者設(shè)備的控制權(quán)限,利用受害者的社交軟件(如微信、企業(yè)微信、Telegram)向其聯(lián)系人群發(fā)惡意鏈接或文件,達(dá)到木馬傳播的目的。

  • 信任鏈攻擊:偽裝為受害者本人發(fā)送的消息,增強(qiáng)惡意鏈接的可信度,從而擴(kuò)散木馬傳播。

圖片

社交平臺(tái)傳播


8.供應(yīng)鏈

  • 軟件更新劫持:通過入侵第三方軟件庫,篡改其中的更新包或安裝包,將木馬偽裝為合法軟件的部分功能,借助供應(yīng)鏈傳播至受害者系統(tǒng)。

  • 外包或合作渠道滲透:利用受感染的外包服務(wù)商或合作伙伴的程序或系統(tǒng),以共享文件或系統(tǒng)集成為媒介傳播木馬。

圖片

圖片

Github投毒事件



木馬迭代

“銀狐”木馬的執(zhí)行流程可分為以下三個(gè)階段:

  • 單文件加載器:釋放白加黑文件

  • 白加黑實(shí)現(xiàn)權(quán)限維持

  • 執(zhí)行后門模塊

而木馬在各個(gè)階段的攻擊手法,也隨著時(shí)間的推移在不斷演變。其中,加載器的種類日趨多樣,從最初的.exe文件發(fā)展到如今的.chm、.bat、.vbs、.msi等格式。同時(shí),在編程語言的運(yùn)用上也越發(fā)多元,涵蓋了C、C++、C#、Go等多種語言。這一演變使得“銀狐”木馬能夠更加靈活地突破安全防御,增加了防范和檢測(cè)的難度。

圖片

偽裝文件名


如今,其后門模塊歷經(jīng)演變,也從原始Gh0st、大灰狼演變?yōu)镈cRat、Win0s,甚至開始利用國內(nèi)正規(guī)行為管理軟件。


第一階段:Gh0st

Gh0st 階段的木馬通常采用套MFC殼的方式,將惡意代碼塞入MFC程序初始化對(duì)話框之后。當(dāng)程序執(zhí)行到惡意代碼所在位置時(shí),會(huì)通過簡單的異或解密惡意代碼,之后直接加載執(zhí)行惡意代碼。在此階段,木馬的后門主要是基于 Gh0st 內(nèi)核改版的灰鴿子、大灰狼遠(yuǎn)控等遠(yuǎn)控工具。

圖片

Gh0st 加載流程

圖片

Gh0st 服務(wù)端

圖片

大灰狼服務(wù)端


第二階段:DcRat

DcRat 是一種使用 C# 語言編寫的后門遠(yuǎn)控工具。其背后的所依托的木馬技術(shù)也隨著 C# 語言的發(fā)展不斷演變。C# 語言與 .NET Framework 和 Windows 系統(tǒng)深度集成,憑借其豐富的標(biāo)準(zhǔn)庫和第三方庫,能夠更加便捷高效的實(shí)現(xiàn)木馬功能。隨著 .NET Core 的出現(xiàn),C# 程序的運(yùn)行平臺(tái)從 Windows 擴(kuò)展到了 Linux 和 macOS,大幅提升了其跨平臺(tái)的適用性。這種演變不僅拓寬了木馬的傳播范圍,還增強(qiáng)了它的靈活性與隱蔽性,為安全防護(hù)帶來了新的挑戰(zhàn)。

圖片

圖片

DcRat加載器

圖片

DcRat服務(wù)端


第三階段:Win0s

自“銀狐”木馬采用 Win0s 作為后門模塊以來,其權(quán)限維持技術(shù)在不斷升級(jí),與安全軟件的對(duì)抗也進(jìn)入了白熱化階段?!般y狐”通過持續(xù)優(yōu)化惡意代碼加載器,結(jié)合內(nèi)存加載 PE、白加黑技術(shù)以及多樣化的進(jìn)程注入手段,不斷突破安全防線。其中,“銀狐”對(duì)白加黑技術(shù)的利用尤為突出,它通過劫持白名單軟件,將自身偽裝為可信程序,從而規(guī)避殺軟的監(jiān)控和檢測(cè)。此外,“銀狐”還會(huì)通過多種系統(tǒng)特性進(jìn)行提權(quán)操作,成功繞過進(jìn)程鏈檢測(cè)機(jī)制,并利用BYOVD技術(shù)在驅(qū)動(dòng)層展開對(duì)抗,由此確保攻擊者可以長期保持對(duì)目標(biāo)系統(tǒng)的控制,以實(shí)現(xiàn)攻擊行為的持續(xù)隱蔽與高效執(zhí)行。

以下是銀狐目前使用的技術(shù)手法:

1.RPC (Remote Procedure Call)遠(yuǎn)程調(diào)用
RPC (Remote Procedure Call)遠(yuǎn)程調(diào)用是一種進(jìn)程間通信(IPC)協(xié)議。該技術(shù)能夠隱藏網(wǎng)絡(luò)通信的復(fù)雜性,使計(jì)算機(jī)程序像調(diào)用本地程序一樣,對(duì)遠(yuǎn)程系統(tǒng)(通常是另一臺(tái)計(jì)算機(jī))上的程序或服務(wù)進(jìn)行調(diào)用。RPC 遠(yuǎn)程調(diào)利用 ALPC 進(jìn)行底層消息傳遞,能夠通過 svchost.exe 啟動(dòng)進(jìn)程,而借助 RPC 遠(yuǎn)程調(diào)用能夠?qū)崿F(xiàn)進(jìn)程鏈的加白。

  • RPC 創(chuàng)建system權(quán)限進(jìn)程

圖片

RPC提權(quán)


  • RPC創(chuàng)建計(jì)劃任務(wù)

圖片

RPC創(chuàng)建計(jì)劃任務(wù)


2.COM(組件對(duì)象模型)

COM(組件對(duì)象模型)是一種具有平臺(tái)無關(guān)性,且遵循面向?qū)ο笤瓌t的分布式系統(tǒng)。它定義了一套標(biāo)準(zhǔn)的通信機(jī)制,允許處于不同應(yīng)用程序或不同系統(tǒng)中的軟件組件進(jìn)行互操作。

  • 計(jì)劃任務(wù)

圖片

計(jì)劃任務(wù)


  • 提權(quán)

圖片

提權(quán)


  • 創(chuàng)建快捷方式

圖片

快捷方式


  • 設(shè)置防火墻

圖片

防火墻


  • 回調(diào)執(zhí)行惡意代碼

圖片

回調(diào)執(zhí)行惡意代碼


  • 越權(quán)復(fù)制文件

圖片

復(fù)制文件


3.注入

注入技術(shù)是一種通過操作系統(tǒng)提供的進(jìn)程內(nèi)存和線程控制API,將自定義代碼或動(dòng)態(tài)鏈接庫(DLL)插入到目標(biāo)進(jìn)程的地址空間,以實(shí)現(xiàn)功能擴(kuò)展或執(zhí)行特定任務(wù)的技術(shù)。

  • APC注入

圖片

APC注入


  • CreateRemoteThread & NtCreateThreadEx 注入

圖片

遠(yuǎn)程線程注入


  • ResumeThread 注入

圖片

線程注入


4.DDR(Dead Drop Resolvers)

DDR(Dead Drop Resolvers)是一種攻擊者使用合法域名網(wǎng)站來承載命令和控制服務(wù)器(C2)信息的技術(shù)。攻擊者通常會(huì)利用該技術(shù)來繞過安全軟件的流量檢測(cè)。

  • 遠(yuǎn)程載荷 云對(duì)象存儲(chǔ)COS

圖片

圖片

云對(duì)象存儲(chǔ)COS


  • 云筆記

圖片

云筆記


5.BYOVD(Bring Your Own Vulnerable Driver)

BYOVD(Bring Your Own Vulnerable Driver)技術(shù)是指將存在漏洞的合法驅(qū)動(dòng)程序投遞至目標(biāo)系統(tǒng),憑借合法驅(qū)動(dòng)程序的簽名繞過DSE(強(qiáng)制驅(qū)動(dòng)簽名)的限制,并通過該驅(qū)動(dòng)實(shí)現(xiàn)摘除內(nèi)核的回調(diào)以及Rootkit的部署。

圖片

BYOVD

圖片

Win0s服務(wù)端


第四階段:行為管理與監(jiān)控軟件的利用

1.IP-Guard

IP-Guard是某廠商開發(fā)的行為監(jiān)控管理軟件,具有實(shí)時(shí)監(jiān)控與記錄、遠(yuǎn)程控制、文件管理等功能,能夠?qū)τ脩艚K端的操作行為進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)以及管理,廣泛應(yīng)用于企業(yè)內(nèi)部的安全管理。

通過溯源分析,“銀狐”木馬正在利用 IP-Guard 實(shí)現(xiàn)對(duì)受控主機(jī)進(jìn)一步的權(quán)限維持。IP-Guard 生成的客戶端通常帶有數(shù)字簽名,能被大部分殺毒軟件默認(rèn)信任,這為銀狐的隱匿提供了更好的偽裝。目前,火絨安全團(tuán)隊(duì)已聯(lián)合 IP-Guard 官方展開針對(duì)性的打擊行動(dòng),能夠精準(zhǔn)識(shí)別與查殺被濫用的 IP-Guard 版本,有效遏制銀狐木馬的傳播和非法行為。

圖片

IP-Guard 服務(wù)端


2.Ping32

Ping32 是國內(nèi)廠商開發(fā)的行為管理與監(jiān)控軟件,與IP-Guard類似,它通過多種功能模塊記錄、分析和控制終端用戶的行為,提供IT管理支持。

隨著安全廠商將 IP-Guard 濫用版本拉入黑名單并加強(qiáng)查殺力度,“銀狐”木馬正在調(diào)整策略,將權(quán)限維持工具更換為 Ping32 ,以進(jìn)一步增強(qiáng)其隱匿性與對(duì)抗能力。木馬的活動(dòng)主要涉及財(cái)務(wù)、賭博、詐騙等相關(guān)領(lǐng)域的控制。

圖片

Ping32 服務(wù)端



溯源分析

1.HFS

Rejetto HFS(HTTP File Server) 是一款免費(fèi)的 Windows 上基于 HTTP 協(xié)議的輕量級(jí)文件服務(wù)器軟件,以簡單易用、高度自定義的特性而受到歡迎,常用于快速文件共享和小型文件服務(wù)器的搭建。

通過對(duì)銀狐木馬的分析發(fā)現(xiàn),其擅于使用Rejetto HFS作為惡意文件服務(wù)器,以下為發(fā)現(xiàn)的銀狐木馬文件服務(wù)器:

  • http://69.165.***.***:8888/

圖片

文件服務(wù)器


  • http://202.58.***.***:8821/

圖片

文件服務(wù)器


通過文件上傳時(shí)間可以看到,目前該木馬仍處于活躍傳播狀態(tài)。由于 HFS 存在 RCE 遠(yuǎn)程執(zhí)行漏洞,我們可以通過此漏洞對(duì)銀狐主機(jī)進(jìn)行反制,開展進(jìn)一步的溯源。

圖片

漏洞利用


2.搜索引擎

惡意攻擊者會(huì)將釣魚網(wǎng)頁進(jìn)行合法備案,將其偽裝成正規(guī)網(wǎng)站。因?yàn)楹戏▊浒冈黾恿司W(wǎng)站的可信度,所以用戶很容易對(duì)惡意網(wǎng)站產(chǎn)生信任。同時(shí),攻擊者能夠利用搜索引擎的推廣機(jī)制,通過為惡意網(wǎng)頁支付推廣費(fèi)用來提高其曝光率和排名,從而誘騙用戶點(diǎn)擊釣魚網(wǎng)頁,下載并運(yùn)行病毒樣本。

以下為目前銀狐正在利用的釣魚網(wǎng)站相關(guān)信息:

圖片

釣魚網(wǎng)站信息


對(duì)上述網(wǎng)站進(jìn)行分析發(fā)現(xiàn),銀狐組織通過購買競價(jià)排名,利用搜索引擎的推廣機(jī)制,將自身偽裝成向日葵、魯大師、好壓、釘釘?shù)瘸S密浖M(jìn)行釣魚傳播。

圖片

圖片

圖片

搜索引擎廣告推廣


通過對(duì)上述域名的溯源分析發(fā)現(xiàn),大部分域名的Whois指向了1410*****@qq.com郵箱,通過對(duì)郵箱中的QQ進(jìn)行溯源分析發(fā)現(xiàn)其所指向的公司為“陜西齊兆華飛網(wǎng)絡(luò)科技有限公司”。

圖片

信息溯源

圖片

域名指向公司的工商信息



樣本分析

下面針對(duì)火絨終端威脅情報(bào)系統(tǒng)最新捕獲的銀狐樣本進(jìn)行分析:
該樣本是一個(gè)惡意的 .exe 可執(zhí)行程序,其背后隱藏著一個(gè) Win0s 后門病毒
初始樣本將惡意代碼寫入本地系統(tǒng),并通過多次進(jìn)程注入來執(zhí)行惡意代碼和加載后門模塊,從而在后臺(tái)持續(xù)監(jiān)控用戶電腦活動(dòng)。整個(gè)過程中能夠在用戶毫無察覺的情況下獲取敏感信息并執(zhí)行惡意操作。

該樣本的加載流程圖如下:

圖片

加載流程圖


首先,對(duì)初始樣本進(jìn)行分析發(fā)現(xiàn),樣本通過檢測(cè)常用軟件的方式來檢測(cè)虛擬機(jī)與沙箱,例如利用注冊(cè)表以及桌面快捷方式進(jìn)行檢測(cè)。

圖片

圖片

檢測(cè)虛擬機(jī)


隨后,將惡意代碼寫入本地,再將其重新讀取至內(nèi)存并執(zhí)行。
注:病毒作者以huorong字段作為文件名,以此迷惑用戶。如果遇到類似名稱的文件,請(qǐng)務(wù)必確保文件來源可靠,建議使用專業(yè)的火絨安全工具進(jìn)行檢查,以保障設(shè)備安全。

圖片

圖片

釋放惡意代碼


接著,樣本通過APC & NtTestAlert的方式執(zhí)行惡意代碼。

圖片

APC 注入


解密出的惡意代碼是一份用于內(nèi)存加載DLL的shellcode,其通過拉伸區(qū)段、修復(fù)IAT、重定位表的方式加載DLL 。

圖片

圖片

內(nèi)存加載DLL


dump出內(nèi)存中的 DLL 進(jìn)行靜態(tài)分析。在DLLmain中,樣本首先會(huì)判斷系統(tǒng)版本號(hào)是否大于Win10:

1.若為Win10、Win11系統(tǒng)

  • 進(jìn)程名稱檢測(cè):檢測(cè)程序名稱是否包含執(zhí)行數(shù)字。

  • 注入:采用線程池注入的方法,將惡意代碼注入到explorer.exe 中。

2.若為Win10以下系統(tǒng):

采用創(chuàng)建線程的方法執(zhí)行惡意代碼。

圖片

注入方式


當(dāng)系統(tǒng)版本大于等于win10時(shí),樣本首先會(huì)檢測(cè)程序名稱是否包含指定數(shù)字,若匹配到就繼續(xù)執(zhí)行,否則退出程序。

圖片

匹配文件名稱


檢測(cè)完成后,將惡意代碼以及后門網(wǎng)址寫入注冊(cè)表\HKEY_CURRENT_USER\Console,并釋放到本地文件C:\Users\Public\Downloads\bb.jpg 中。

圖片

圖片

惡意代碼注冊(cè)表


之后,采用池注入的方法注入一份新的shellcode,以此加載釋放到本地bb.jpg或者注冊(cè)表中的惡意代碼:
樣本會(huì)先獲取explorer.exe的句柄,之后再利用線程池注入的方法,將惡意代碼注入到explorer.exe進(jìn)程當(dāng)中。

圖片

圖片

線程池注入


新的shellcode同樣采用內(nèi)存加載DLL的方式來加載DLLmain函數(shù)。從內(nèi)存中將其dump出來進(jìn)行分析:

圖片

圖片

注冊(cè)表修改


成功讀取惡意代碼后,通過掛起進(jìn)程的方式,利用ResumeThread函數(shù)實(shí)現(xiàn)將惡意代碼注入到新的進(jìn)程C:\\Windows\\explorer.exe 中。

圖片

注入explorer


注入到C:\\Windows\\explorer.exe進(jìn)程中的shellcode,會(huì)通過網(wǎng)絡(luò)下載后門模塊的方式,利用異或解密其中內(nèi)容,得到一份用于內(nèi)存加載DLL的后門DLL。

圖片

圖片

下載后門模塊


將下載到的后門模塊進(jìn)行dump分析,發(fā)現(xiàn)該模塊是一個(gè)完整的后門模塊DLL。
通過對(duì)shellcode的分析發(fā)現(xiàn),內(nèi)存加載DLL之后會(huì)執(zhí)行導(dǎo)出函數(shù)load。

圖片

導(dǎo)出函數(shù)


進(jìn)一步分析發(fā)現(xiàn),該shellcode為Win0s的上線模塊.dll。

圖片

上線模塊.dll


分析發(fā)現(xiàn),該樣本的后門模塊與2024年8月份火絨安全發(fā)布的“李鬼”軟件暗設(shè)后門,對(duì)抗殺軟侵蝕系統(tǒng)文章中的后門模塊類型相同,同屬于Win0s后門,具體細(xì)節(jié)可查看往期分析報(bào)告。

經(jīng)過對(duì)比發(fā)現(xiàn),在該樣本的后門功能中,原本的線程監(jiān)控鍵盤功能已被魔改為對(duì)帶有銀行、微信標(biāo)題的窗口進(jìn)行自動(dòng)截圖并將截圖保存至C:\\ProgramData\\baiduScreenShot路徑下。

圖片

自動(dòng)截圖



附錄

1.分析樣本C&C:

圖片


2.分析樣本HASH:

圖片


3.近期活躍銀狐樣本C&C:

圖片


4.近期活躍銀狐樣本HASH:

圖片