“銀狐”木馬概述

“銀狐”木馬是一類針對(duì)企事業(yè)單位管理人員、財(cái)務(wù)人員、銷售人員及電商賣家進(jìn)行釣魚攻擊的木馬。攻擊團(tuán)伙通過(guò)投遞遠(yuǎn)控木馬，在獲得受害者的計(jì)算機(jī)控制權(quán)限后會(huì)在其系統(tǒng)內(nèi)長(zhǎng)期駐留，并監(jiān)控用戶日常操作。待時(shí)機(jī)成熟時(shí)，攻擊者會(huì)利用受感染設(shè)備中已登錄的聊天工具軟件（如微信等）發(fā)起詐騙。此外，該家族也經(jīng)常使用高仿微信號(hào)進(jìn)行詐騙。

木馬傳播

“銀狐”木馬常見的傳播路徑有以下三種。

一、?IM傳播

通過(guò)此類方式進(jìn)行傳播的木馬，通常利用QQ、微信等即時(shí)通信（IM）軟件發(fā)送釣魚文件或網(wǎng)站鏈接，誘導(dǎo)受害者點(diǎn)擊并進(jìn)行釣魚傳播。而其發(fā)送的文件或內(nèi)容往往會(huì)命名為“成績(jī)單”、“轉(zhuǎn)賬通知單”等具有誘導(dǎo)性的名稱，方便擴(kuò)散。

此類方式傳播的木馬的技術(shù)特點(diǎn)為：擅長(zhǎng)使用白利用、內(nèi)存loader等技術(shù)手段。

二、?釣魚網(wǎng)站傳播

通過(guò)此類方式傳播的木馬，一般會(huì)偽裝成稅務(wù)機(jī)關(guān)的釣魚網(wǎng)站，使用微信釣魚進(jìn)行傳播。其在傳播過(guò)程中常用的名稱有：發(fā)票、單據(jù)、報(bào)稅、稅務(wù)軟件等。

此類方式傳播的木馬的技術(shù)特點(diǎn)為：擅長(zhǎng)使用白利用，木馬呈現(xiàn)多階段的投遞方式，并使用某云筆記存儲(chǔ)其payload數(shù)據(jù)。

三、?虛假軟件傳播

此類木馬往往偽裝成常用軟件，常見的就有：微信、WPS、釘釘?shù)葦?shù)十款軟件，通過(guò)在主流搜索引擎上購(gòu)買流量進(jìn)行釣魚傳播。近期的數(shù)據(jù)顯示，此傳播方式是上述三種常見傳播形式中傳播量最大的一種。

此類木馬的技術(shù)特點(diǎn)為：使用廣告軟件進(jìn)行捆綁式推廣，利用復(fù)雜形式的白利用，并呈現(xiàn)多階段的投遞方式。?

技術(shù)詳解

下面的技術(shù)分析，會(huì)以前文提到的傳播最廣泛的第三類木馬為例，進(jìn)行介紹：

銀狐家族通過(guò)以WPS、MS Office、PDF等安裝包的名義進(jìn)行釣魚攻擊。下載的文件名稱常見的有“wpsSetup.exe”、“抖音小店.exe”、“釘釘一鍵安裝.exe”等，且受害者眾多。此外，該家族還常使用一些其他方式用于對(duì)抗：例如研究人員捕獲到的木馬樣本通常都加了VMP等強(qiáng)殼，并且傳播者會(huì)根據(jù)不同IP或時(shí)間段，分地分時(shí)地發(fā)布針對(duì)性樣本，進(jìn)行針對(duì)性攻擊或?qū)拱踩珳y(cè)試分析。根據(jù)后臺(tái)大數(shù)據(jù)顯示，每天有超過(guò)1000+終端用戶被該類木馬釣魚攻擊。

常見釣魚頁(yè)面

一、?偽官網(wǎng)釣魚頁(yè)面

二、?偽下載站釣魚頁(yè)面

樣本分析

木馬樣本投遞方式多樣，偽造的軟件多達(dá)數(shù)十款。包括但不限于：WPS、微信、搜狗拼音、釘釘、CAD、PDF、xxx加速器、壓縮軟件、PPT、美圖秀秀、向日葵等各類常用軟件。下文以偽裝為WPS安裝程序的木馬為例進(jìn)行分析。

木馬會(huì)分批次逐級(jí)釋放文件，釋放過(guò)程如下：

當(dāng)木馬檢測(cè)到存在360tray進(jìn)程時(shí)會(huì)，偽造360彈窗，試圖誤導(dǎo)用戶主動(dòng)退出360相關(guān)安全軟件：

之后，木馬會(huì)解壓內(nèi)部數(shù)據(jù)，并將其釋放到%ProgramData%下的隨機(jī)10個(gè)大小寫字母目錄中，被釋放的文件名為8個(gè)隨機(jī)大小寫字母。

繼而，使用白利用（DLL側(cè)加載）手段，如被分析的木馬利用到了“NetSarang Computer, Inc.”簽名的升級(jí)程序：這是NetSarang公司旗下XSHELL、XMANAGER、XFTP、XLPD等系列工具的更新程序，數(shù)字簽名正常。如下圖所示：

被利用的白程序運(yùn)行后，會(huì)加載同目錄下后綴為.dat的同名文件。加載后會(huì)解壓該文件并解析其中的Lua腳本代碼，之后執(zhí)行用以完成軟件更新。而木馬便利用這一點(diǎn)，讓白程序從其精心構(gòu)建過(guò)的.dat壓縮包里解壓出編碼過(guò)的shellcode并執(zhí)行。其解壓密碼為：

99B2328D3FDF4E9E98559B4414F7ACB9

被解壓出的shellcode啟動(dòng)后會(huì)讀取并修復(fù)當(dāng)前目錄下的.xml文件的前4個(gè)字節(jié)，而修復(fù)后的內(nèi)容實(shí)際上是一個(gè)PE結(jié)構(gòu)的可執(zhí)行程序。這部分代碼的修復(fù)邏輯及結(jié)果如下：

修復(fù)后的PE可執(zhí)行程序運(yùn)行后，會(huì)向系統(tǒng)中添加計(jì)劃任務(wù)用以定期啟動(dòng)自動(dòng)執(zhí)行。同時(shí)，程序還會(huì)解密同目錄下的.png及.jpg文件，這次解壓出的程序?yàn)檎嬲倪h(yuǎn)控程序。

持續(xù)駐留

木馬會(huì)添加一個(gè)偽裝為Onedrive、Microsoft Edge等名稱的計(jì)劃任務(wù)：

遠(yuǎn)程控制

最終執(zhí)行的遠(yuǎn)控木馬的部分主要遠(yuǎn)程控制功能有：

1、?鍵盤記錄

2、?檢測(cè)判斷環(huán)境（安全軟件、IM軟件等）

3、?進(jìn)入釣魚QQ（獲取QQ密碼）

4、?獲取瀏覽器信息

5、?記錄用戶日常操作

木馬還會(huì)定時(shí)截取屏幕并保存到%ProgramData%\quickScreenShot目錄下。

6、?更新C2防止被封

為防止C2服務(wù)器地址被封導(dǎo)致后門失效，其后門模塊還會(huì)從ip.txt文件中獲取最新的C2地址進(jìn)行更新替換：

多層內(nèi)存解密加載，360殺箱云檢出圖：

此外，該遠(yuǎn)控木馬也具有常見的遠(yuǎn)控功能，如：文件傳輸、截圖、鍵盤記錄、收集用戶系統(tǒng)信息、遍歷是否存在網(wǎng)絡(luò)分析工具等行為。?

攻擊意圖

經(jīng)過(guò)分析人員研判，該團(tuán)伙千方百計(jì)進(jìn)行免殺傳播并向政企設(shè)備植入木馬，其主要是為了竊取此類用戶的隱私數(shù)據(jù)，進(jìn)而為進(jìn)一步的詐騙提供幫助。

攻擊者不僅會(huì)通過(guò)一般的釣魚方式進(jìn)行傳播，還會(huì)利用受害者的即時(shí)通信軟件來(lái)發(fā)送具有針對(duì)性的釣魚、欺詐類信息，政企單位應(yīng)對(duì)此類攻擊事件提高警惕并加強(qiáng)相關(guān)安全培訓(xùn)，防范該家族木馬的攻擊。

https://www.#/n/12373.html