|
|
本帖最后由 huoronganquan 于 2025-1-16 13:18 编辑
随着数字化进程的加速,网络已经深度融入社会各层面,在极大地促进了信息交流与经济发展的同时,也滋生了大量网络犯罪活动,为网络安全领域带来了严峻挑战。自2021年起,“银狐”团伙在网络世界中悄然崛起。作为活跃在黑色产业链中的犯罪团伙,其制作的“银狐”木马病毒不断演变升级,凭借高度一致的技术手段与攻击策略,对企业和个人造成持续性威胁。本文将梳理“银狐”木马的迭代过程和传播方式,并进行溯源分析,期望大家能够深入了解此类病毒,提高警惕,防止遭受攻击。
银狐团伙的黑色产业链广泛渗透至金融、诈骗、政府机构及多个行业领域。从2021年直至2024年12月,“银狐”木马活动显著增多,且始终保持相当高的活跃度。起初,“银狐”组织将目标锁定在企业与机构中的关键岗位人员,如管理层、财务部门、销售团队以及电子商务从业者,通过定向钓鱼攻击获取敏感信息。随着时间的推移,银狐病毒高效的攻击模式与成功的示范效应逐渐引起其他网络犯罪分子的关注,他们开始模仿其攻击手段并进行传播,导致全球范围内类似攻击事件频发。不同于传统钓鱼木马攻击,“银狐”木马采用更为隐蔽的多级白进程劫持技术进行搭载。如今,不仅企业和机构深受其害,普通网民也面临着日益严峻的安全威胁。
火绒终端威胁情报系统的监测数据显示,“银狐”团伙在过去一年多,始终保持高度活跃,每月攻击频率呈现增高趋势,受害设备数量以每月数万台计。尤其是在2023年底,其攻击事件显著增长,这一攻击趋势在2024年仍在延续,且其影响范围也在不断扩大。
银狐事件曲线
通过对近期发现的“银狐”木马进行分析,得知其主要采用Win0s作为后门模块,以实现对用户电脑活动的监控。通过网上泄露的源代码可以看到,这类后门已具备键盘记录、查看屏幕(高速屏幕、娱乐屏幕、后台屏幕)、摄像头查看、文件管理、语音监听、远程终端执行、系统管理、驱动插件、注册表管理、压力测试等功能。
源代码对比图 Win0s 功能图
IP-Guard等行为管理软件本身是用于企业内部管理的工具,具备记录电脑日常操作的功能。而“银狐”组织利用这类软件,能够获取用户电脑的更多权限,从而记录用户电脑的日常操作,包括浏览网站、社交通信消息记录、文件外发跟踪、电子邮件劫持、智能截图、文件操作、打印机日志、剪贴板记录、屏幕录像等。因此,一旦“银狐”组织成功取得用户电脑的控制权,便会通过类似软件对木马进行更深层次的传播。
“银狐”团伙通过控制受害者的电脑屏幕,在社交平台(如微信、钉钉、企业微信)上实施一系列精心设计的操作,包括:
1.群聊传播木马:控制电脑屏幕将恶意木马文件转发至群聊,诱导群成员点击下载。一旦木马被运行,更多设备可能被感染,之后,迅速退出群聊以降低被发现的风险。
2.冒充上级实施诈骗:控制领导社交账号或管理人员,单独创建新群,假借紧急事务或企业内部需求,诱骗财务人员转账或泄露敏感信息。
这种手法结合了高度针对性的社会工程学攻击,不仅能实现恶意木马的快速传播,还会导致受害者损失惨重。本文后续将会针对此类木马进行详细分析。
IP-Guard 群聊传播 群聊二次传播 控制社交平台诈骗 Ping32 功能图
一、木马传播方式
“银狐”木马在传播过程中展现出高度的社工性和灵活性,以下是其主要传播途径:
1.定向政企财务钓鱼邮件
邮件伪装:通过伪装成看似合法的发件人身份(如供应商、合作伙伴或客户)发送含有恶意附件或链接的邮件。这些附件通常以PDF、Word、Excel等常见文档格式出现,并会利用社会工程手段诱使受害者将其打开。
宏代码攻击:如果附件是Office文件,则常常嵌入有恶意宏代码。一旦启用宏功能,这些恶意脚本就会被执行,进而下载和安装木马程序。
钓鱼邮件
2.伪造应用下载网页并推广
假冒合法应用:创建高仿的应用下载页面,伪装为热门工具、游戏或办公软件,诱骗受害者下载含有木马的应用程序。
搜索引擎广告投放:通过购买广告位或优化搜索引擎排名,使伪造页面出现在搜索结果前列,从而提高受害者下载恶意程序的概率。
钓鱼网页
3.网页挂马
水坑攻击:在政企人员频繁访问的网站或论坛中植入恶意代码,受害者一旦访问,浏览器会自动下载并执行木马程序。
广告劫持:利用恶意广告注入技术,在正常网页的广告弹窗分发木马。
4.色情信息诱导
诱导下载:利用伪装成色情视频、图片等资源的链接和附件,引诱受害者下载恶意文件。
钓鱼网站:搭建钓鱼网站并将其伪装成色情网站,受害者在访问或尝试下载内容时会被植入木马。
色情引诱
5.游戏资源传播
盗版游戏私服:通过私服游戏客户端或外挂工具捆绑木马程序,吸引受害者下载。
论坛分享:在游戏论坛或社群中发布伪装成游戏补丁、福利资源的木马程序,诱导受害者下载。
游戏私服
6.常见web Nday漏洞
已知漏洞攻击:利用受害者使用的网站中常见的Nday漏洞(如Struts2、Log4j、WebLogic等)直接植入木马,入侵受害者系统。
工具化攻击:借助自动化漏洞扫描工具批量检测受害者系统,并在漏洞存在时植入恶意程序。
7.社交信息
键盘和鼠标劫持:通过木马获取受害者设备的控制权限,利用受害者的社交软件(如微信、企业微信、Telegram)向其联系人群发恶意链接或文件,达到木马传播的目的。
信任链攻击:伪装为受害者本人发送的消息,增强恶意链接的可信度,从而扩散木马传播。
社交平台传播
8.供应链
软件更新劫持:通过入侵第三方软件库,篡改其中的更新包或安装包,将木马伪装为合法软件的部分功能,借助供应链传播至受害者系统。
外包或合作渠道渗透:利用受感染的外包服务商或合作伙伴的程序或系统,以共享文件或系统集成为媒介传播木马。
Github投毒事件
二、木马迭代
“银狐”木马的执行流程可分为以下三个阶段:
单文件加载器:释放白加黑文件
白加黑实现权限维持
执行后门模块
而木马在各个阶段的攻击手法,也随着时间的推移在不断演变。其中,加载器的种类日趋多样,从最初的.exe文件发展到如今的.chm、.bat、.vbs、.msi等格式。同时,在编程语言的运用上也越发多元,涵盖了C、C++、C#、Go等多种语言。这一演变使得“银狐”木马能够更加灵活地突破安全防御,增加了防范和检测的难度。
伪装文件名
如今,其后门模块历经演变,也从原始Gh0st、大灰狼演变为DcRat、Win0s,甚至开始利用国内正规行为管理软件。
第一阶段:Gh0st
Gh0st阶段的木马通常采用套MFC壳的方式,将恶意代码塞入MFC程序初始化对话框之后。当程序执行到恶意代码所在位置时,会通过简单的异或解密恶意代码,之后直接加载执行恶意代码。在此阶段,木马的后门主要是基于 Gh0st 内核改版的灰鸽子、大灰狼远控等远控工具。
Gh0st 加载流程 Gh0st 服务端 大灰狼服务端
第二阶段:DcRat
DcRat 是一种使用 C# 语言编写的后门远控工具。其背后的所依托的木马技术也随着 C# 语言的发展不断演变。C# 语言与 .NET Framework 和 Windows 系统深度集成,凭借其丰富的标准库和第三方库,能够更加便捷高效的实现木马功能。随着 .NET Core 的出现,C# 程序的运行平台从 Windows 扩展到了 Linux 和 macOS,大幅提升了其跨平台的适用性。这种演变不仅拓宽了木马的传播范围,还增强了它的灵活性与隐蔽性,为安全防护带来了新的挑战。
DcRat加载器 DcRat服务端
第三阶段:Win0s
自“银狐”木马采用 Win0s 作为后门模块以来,其权限维持技术在不断升级,与安全软件的对抗也进入了白热化阶段。“银狐”通过持续优化恶意代码加载器,结合内存加载 PE、白加黑技术以及多样化的进程注入手段,不断突破安全防线。其中,“银狐”对白加黑技术的利用尤为突出,它通过劫持白名单软件,将自身伪装为可信程序,从而规避杀软的监控和检测。此外,“银狐”还会通过多种系统特性进行提权操作,成功绕过进程链检测机制,并利用BYOVD技术在驱动层展开对抗,由此确保攻击者可以长期保持对目标系统的控制,以实现攻击行为的持续隐蔽与高效执行。
以下是银狐目前使用的技术手法:
1.RPC (Remote Procedure Call)远程调用
RPC (Remote Procedure Call)远程调用是一种进程间通信(IPC)协议。该技术能够隐藏网络通信的复杂性,使计算机程序像调用本地程序一样,对远程系统(通常是另一台计算机)上的程序或服务进行调用。RPC 远程调利用 ALPC 进行底层消息传递,能够通过 svchost.exe 启动进程,而借助 RPC 远程调用能够实现进程链的加白。
RPC 创建system权限进程
RPC提权
RPC创建计划任务
RPC创建计划任务
2.COM(组件对象模型)
COM(组件对象模型)是一种具有平台无关性,且遵循面向对象原则的分布式系统。它定义了一套标准的通信机制,允许处于不同应用程序或不同系统中的软件组件进行互操作。
计划任务
计划任务
提权
提权
创建快捷方式
快捷方式
设置防火墙
防火墙
回调执行恶意代码
回调执行恶意代码
越权复制文件
复制文件
3.注入
注入技术是一种通过操作系统提供的进程内存和线程控制API,将自定义代码或动态链接库(DLL)插入到目标进程的地址空间,以实现功能扩展或执行特定任务的技术。
APC注入
APC注入
CreateRemoteThread & NtCreateThreadEx 注入
远程线程注入
ResumeThread 注入
线程注入
4.DDR(Dead Drop Resolvers)
DDR(Dead Drop Resolvers)是一种攻击者使用合法域名网站来承载命令和控制服务器(C2)信息的技术。攻击者通常会利用该技术来绕过安全软件的流量检测。
远程载荷 云对象存储COS
云对象存储COS
云笔记
云笔记
5.BYOVD(Bring Your Own Vulnerable Driver)
BYOVD(Bring Your Own Vulnerable Driver)技术是指将存在漏洞的合法驱动程序投递至目标系统,凭借合法驱动程序的签名绕过DSE(强制驱动签名)的限制,并通过该驱动实现摘除内核的回调以及Rootkit的部署。
BYOVD Win0s服务端
第四阶段:行为管理与监控软件的利用
1.IP-Guard
IP-Guard是某厂商开发的行为监控管理软件,具有实时监控与记录、远程控制、文件管理等功能,能够对用户终端的操作行为进行实时监控、审计以及管理,广泛应用于企业内部的安全管理。
通过溯源分析,“银狐”木马正在利用 IP-Guard 实现对受控主机进一步的权限维持。IP-Guard 生成的客户端通常带有数字签名,能被大部分杀毒软件默认信任,这为银狐的隐匿提供了更好的伪装。目前,火绒安全团队已联合 IP-Guard 官方展开针对性的打击行动,能够精准识别与查杀被滥用的 IP-Guard 版本,有效遏制银狐木马的传播和非法行为。
IP-Guard 服务端
2.Ping32
Ping32 是国内厂商开发的行为管理与监控软件,与IP-Guard类似,它通过多种功能模块记录、分析和控制终端用户的行为,提供IT管理支持。
随着安全厂商将 IP-Guard 滥用版本拉入黑名单并加强查杀力度,“银狐”木马正在调整策略,将权限维持工具更换为 Ping32 ,以进一步增强其隐匿性与对抗能力。木马的活动主要涉及财务、赌博、诈骗等相关领域的控制。
Ping32 服务端
三、溯源分析
1.HFS
Rejetto HFS(HTTP File Server) 是一款免费的 Windows 上基于 HTTP 协议的轻量级文件服务器软件,以简单易用、高度自定义的特性而受到欢迎,常用于快速文件共享和小型文件服务器的搭建。
通过对银狐木马的分析发现,其擅于使用Rejetto HFS作为恶意文件服务器,以下为发现的银狐木马文件服务器:
http://69.165.***.***:8888/
文件服务器
http://202.58.***.***:8821/
文件服务器
通过文件上传时间可以看到,目前该木马仍处于活跃传播状态。由于 HFS 存在 RCE远程执行漏洞,我们可以通过此漏洞对银狐主机进行反制,开展进一步的溯源。
漏洞利用
2.搜索引擎
恶意攻击者会将钓鱼网页进行合法备案,将其伪装成正规网站。因为合法备案增加了网站的可信度,所以用户很容易对恶意网站产生信任。同时,攻击者能够利用搜索引擎的推广机制,通过为恶意网页支付推广费用来提高其曝光率和排名,从而诱骗用户点击钓鱼网页,下载并运行病毒样本。
以下为目前银狐正在利用的钓鱼网站相关信息:
钓鱼网站信息
对上述网站进行分析发现,银狐组织通过购买竞价排名,利用搜索引擎的推广机制,将自身伪装成向日葵、鲁大师、好压、钉钉等常用软件进行钓鱼传播。
搜索引擎广告推广
通过对上述域名的溯源分析发现,大部分域名的Whois指向了1410*****@qq.com邮箱,通过对邮箱中的QQ进行溯源分析发现其所指向的公司为“陕西齐兆华飞网络科技有限公司”。
信息溯源 域名指向公司的工商信息
四、样本分析
下面针对火绒终端威胁情报系统最新捕获的银狐样本进行分析:
该样本是一个恶意的 .exe 可执行程序,其背后隐藏着一个 Win0s 后门病毒。
初始样本将恶意代码写入本地系统,并通过多次进程注入来执行恶意代码和加载后门模块,从而在后台持续监控用户电脑活动。整个过程中能够在用户毫无察觉的情况下获取敏感信息并执行恶意操作。
该样本的加载流程图如下:
加载流程图
首先,对初始样本进行分析发现,样本通过检测常用软件的方式来检测虚拟机与沙箱,例如利用注册表以及桌面快捷方式进行检测。
检测虚拟机
随后,将恶意代码写入本地,再将其重新读取至内存并执行。
注:病毒作者以huorong字段作为文件名,以此迷惑用户。如果遇到类似名称的文件,请务必确保文件来源可靠,建议使用专业的火绒安全工具进行检查,以保障设备安全。
释放恶意代码
接着,样本通过APC & NtTestAlert的方式执行恶意代码。
APC 注入
解密出的恶意代码是一份用于内存加载DLL的shellcode,其通过拉伸区段、修复IAT、重定位表的方式加载DLL 。
内存加载DLL
dump出内存中的 DLL 进行静态分析。在DLLmain中,样本首先会判断系统版本号是否大于Win10:
1.若为Win10、Win11系统:
进程名称检测:检测程序名称是否包含执行数字。
注入:采用线程池注入的方法,将恶意代码注入到explorer.exe 中。
2.若为Win10以下系统:
采用创建线程的方法执行恶意代码
注入方式
当系统版本大于等于win10时,样本首先会检测程序名称是否包含指定数字,若匹配到就继续执行,否则退出程序。
匹配文件名称
检测完成后,将恶意代码以及后门网址写入注册表\HKEY_CURRENT_USER\Console,并释放到本地文件C:\Users\Public\Downloads\bb.jpg 中。
恶意代码注册表
之后,采用池注入的方法注入一份新的shellcode,以此加载释放到本地bb.jpg或者注册表中的恶意代码:
样本会先获取explorer.exe的句柄,之后再利用线程池注入的方法,将恶意代码注入到explorer.exe进程当中。
线程池注入
新的shellcode同样采用内存加载DLL的方式来加载DLLmain函数。从内存中将其dump出来进行分析:
注册表修改
成功读取恶意代码后,通过挂起进程的方式,利用ResumeThread函数实现将恶意代码注入到新的进程C:\\Windows\\explorer.exe 中。
注入explorer
注入到C:\\Windows\\explorer.exe进程中的shellcode,会通过网络下载后门模块的方式,利用异或解密其中内容,得到一份用于内存加载DLL的后门DLL。
下载后门模块
将下载到的后门模块进行dump分析,发现该模块是一个完整的后门模块DLL。
通过对shellcode的分析发现,内存加载DLL之后会执行导出函数load。
导出函数
进一步分析发现,该shellcode为Win0s的上线模块.dll。
上线模块.dll
分析发现,该样本的后门模块与2024年8月份火绒安全发布的“李鬼软件暗设后门,对抗杀软侵蚀系统”文章中的后门模块类型相同,同属于Win0s后门,具体细节可查看往期分析报告。
经过对比发现,在该样本的后门功能中,原本的线程监控键盘功能已被魔改为对带有银行、微信标题的窗口进行自动截图并将截图保存至C:\\ProgramData\\baiduScreenShot路径下。
自动截图
五、附录
1.分析样本C&C:
2.分析样本HASH:
3.近期活跃银狐样本C&C:
4.近期活跃银狐样本HASH:
|
|
收藏
努力中
