近日，亞信安全捕獲一起“銀狐”木馬團(tuán)伙利用微信群傳播病毒的事件，該黑產(chǎn)團(tuán)伙經(jīng)常通過微信\QQ等即時通信工具，或郵件、釣魚網(wǎng)站等途徑傳播木馬病毒，專門針對金融、教育等企事業(yè)單位的管理、財務(wù)、銷售等從業(yè)人員進(jìn)行攻擊，達(dá)到竊取隱私的目的。

【微信群等通訊工具“投毒”】

【假冒某編輯器網(wǎng)站“投毒”】

01何為銀狐

亞信安全追蹤到一種惡意軟件，名為“銀狐”。2023年銀狐病毒來勢洶洶，在短短的幾個月內(nèi)，其已經(jīng)經(jīng)歷了多次迭代更新。攻擊者通過社工釣魚攻擊，即時通訊工具投遞木馬，或者偽裝成正常程序安裝包，通過搜索引擎推廣偽造網(wǎng)站來誘導(dǎo)用戶下載安裝。其偽裝程序通常包括各種常見工具、熱點新聞名稱、視頻文件等，目的是使受害者降低防范意識，執(zhí)行偽裝程序，最終下載遠(yuǎn)控木馬，對受害機(jī)進(jìn)行控制。

02當(dāng)代“卷王”，6大版本持續(xù)升級

銀狐木馬是今年最“卷”病毒之一，在不到一年的時間里迭代6大版本，其在攻擊方式，攻擊組件部署方式，惡意樣本投遞方式上不斷升級、變化，與殺軟持續(xù)對抗。除此之外，銀狐木馬還使用白加黑、加密payload、內(nèi)存加載等免殺手段，逃避殺軟檢測。

【銀狐木馬迭代更新的各個版本特點】

【銀狐V1.1-V1.3攻擊流程圖】

【銀狐V2.1-V2.3攻擊流程圖】

03亞信安全解決方案

這是一個真實的案例，2023年年初，某終端用戶的TrustOne監(jiān)測響應(yīng)（EDR）模塊產(chǎn)生威脅情報告警，提示命中“銀狐黑灰產(chǎn)重磅更新，大量基礎(chǔ)設(shè)置曝光”。收到用戶求助時，我們立即展開了對告警的排查工作，并開展了對銀狐木馬事件的溯源調(diào)查。

事前監(jiān)測

通過TrustOne監(jiān)測響應(yīng)（EDR）模塊的實時監(jiān)測和日志分析功能，亞信安全迅速捕捉到銀狐木馬的活動痕跡，包括其入侵途徑，惡意行為等。通過EDR技術(shù)的高級分析功能，對銀狐木馬的特征進(jìn)行深入研究，以進(jìn)一步改進(jìn)我們的防御策略和提高對類似威脅的識別能力。通過持續(xù)追蹤和嚴(yán)密的調(diào)查工作，不斷提升對銀狐木馬等網(wǎng)絡(luò)威脅的應(yīng)對能力，為用戶提供及時有效的支持。

事中響應(yīng)與溯源

根據(jù)TrustOne監(jiān)測響應(yīng)（EDR）模塊中威脅情報告警，亞信安全發(fā)現(xiàn)發(fā)起請求的進(jìn)程名為"Z9FCv.exe"，該進(jìn)程所在路徑為: "C:\Users\Public\Pictures"，遂對該文件進(jìn)行調(diào)查。

通過搜索文件事件、并篩選包含"Z9FCv.exe"的文件，追溯到該文件由“D:\搜狗高速下載\pdf安裝.exe”創(chuàng)建而來。

因此，亞信安全專家研判：文件來源可能是通過搜狗瀏覽器下載，程序可能與PDF閱讀器/編輯器相關(guān)。為了證實推斷，亞信安全專家通過搜索網(wǎng)絡(luò)事件，并篩選包含".exe"的URL，追溯到如下幾條可疑內(nèi)容。其中15:00:39的事件與上述事件的時間更為吻合，且其URL編碼經(jīng)過解碼后為"pdf安裝.exe"，符合上述提及文件名。

根據(jù)以上信息基本可以判斷，用戶訪問到了假冒的PDF編輯器下載站點，下載執(zhí)行假冒PDF安裝文件后感染銀狐木馬，上述行為的猜測也得到用戶的證實。

通過分析關(guān)聯(lián)子域名，亞信安全還發(fā)現(xiàn)該黑灰產(chǎn)團(tuán)隊不僅對PDF編輯器痛下毒手，還將目標(biāo)瞄準(zhǔn)飛書、CAD等其他常用軟件。

事后總結(jié)

受害者通過搜索引擎搜索并下載"PDF編輯器"，點擊了標(biāo)注"廣告"的鏈接后跳轉(zhuǎn)到假冒下載站。在站點中下載到偽裝的PDF編輯器并執(zhí)行，導(dǎo)致在內(nèi)存中釋放銀狐木馬，EDR對銀狐木馬事件發(fā)生告警。

除了EDR外，亞信安全能夠有效利用LinkOne、DDEI等多重手段形成聯(lián)動方案，以應(yīng)對銀狐家族的快速變種。同時，亞信安全專家團(tuán)隊也會持續(xù)追蹤銀狐病毒，不斷提高對銀狐病毒的分析及檢測能力。

04各版本深度分析

銀狐V1.1

銀狐木馬1.1版本主要是通過網(wǎng)站下載傳播，受害者通過搜索引擎搜索到釣魚網(wǎng)站，并下載和執(zhí)行了偽裝的安裝程序包，從而在內(nèi)存釋放銀狐木馬。通過SetupFactory進(jìn)行打包，加大了分析難度。執(zhí)行過程中，多次利用白加黑、解密壓縮包的方式釋放惡意程序，而這些壓縮包均帶有密碼。有的密碼來自內(nèi)存釋放的腳本中的編碼，有的密碼則是“白文件”中硬編碼的解壓密碼。此外，該程序經(jīng)過精心編寫，早期釋放看似是圖片的程序，實則利用圖片尾部的Overlay，在最后階段被用來加載Shellcode。

【銀狐V1.1版本攻擊流程】

銀狐V1.2

銀狐V1.2版本同樣為可執(zhí)行文件格式，其通過釣魚郵件、通訊工具等方式進(jìn)行傳播。V1.2版本整體執(zhí)行邏輯與V1.1類似，區(qū)別在于改變了惡意樣本的釋放方式，從SetupFactory打包改變?yōu)樽孕芯帉慙oader程序。其余行為未發(fā)生變化。

【銀狐V1.2版本攻擊流程】

銀狐V2.1

銀狐V2.1版本為CHM格式或VBS格式。CHM是微軟推出的基于HTML的幫助文件系統(tǒng)，被 IE 瀏覽器支持的JavaScript, VBScript, ActiveX等，CHM同樣支持。運行CHM后，通過內(nèi)存執(zhí)行CHM內(nèi)嵌的HTML文件，加載惡意JS代碼（部分樣本為VBS格式，代碼功能、格式與JS代碼相同）。該JS代碼通過DotNetToJScript修改生成，通過內(nèi)存加載.NET惡意代碼。隨后，.NET惡意代碼通過讀取內(nèi)部字符串寫入配置文件，通過調(diào)用數(shù)組存放的shellcode，訪問云服務(wù)對象存儲（OSS）下載多個文件并執(zhí)行。

【銀狐V2.1版本攻擊流程】

銀狐2.2

V2.2版本為.VBE格式，VBE全稱是VBScriptEncoded Script，其通過加密VBA代碼進(jìn)行代碼保護(hù)。2.2版本執(zhí)行的動作與V2.1版本的VBS腳本實現(xiàn)類似，增加了對IE的安全設(shè)置的更改。此外，該版本的后續(xù)執(zhí)行的文件鏈發(fā)生變化，其主要以svchost.exe(白)加載Libcef.dll(黑加載器)解密執(zhí)行Foolish.png(加密的ghostRAT)為主要攻擊鏈。V4.0版本下載如下多個程序，其中，log.dll/webpage.dll為svchost.exe所需加載的白DLL，而libcef.dll則被替換為病毒的加載器。其用于讀取和解密Foolish.png并執(zhí)行惡意代碼，解密后在內(nèi)存執(zhí)行GhostRAT多功能木馬，該木馬具有鍵盤記錄、安全軟件檢測等行為，并能連接到遠(yuǎn)程地址接受指令。

05亞信安全提醒

銀狐木馬自問世以來，一直保持著迭代更新，目前已經(jīng)發(fā)現(xiàn)6代銀狐木馬，而且近期有持續(xù)爆發(fā)的趨勢，大量的用戶被攻擊。攻擊者通過IM工具進(jìn)行釣魚，以及購買搜索引擎關(guān)鍵字，偽裝成正常工具軟件進(jìn)行傳播。用戶被控后，攻擊者會通過竊取資料、拉群等方式，進(jìn)行下一步的詐騙活動。

為了避免被銀狐木馬感染，相關(guān)用戶應(yīng)該保持警惕，并采取一些防護(hù)措施。包括保持操作系統(tǒng)和應(yīng)用程序的更新，使用強(qiáng)密碼和雙重身份驗證，不打開來自陌生人的電子郵件附件或點擊可疑鏈接，到正規(guī)網(wǎng)站下載軟件以及安裝和定期更新安全軟件，不隨意點擊即時通訊工具中傳輸?shù)膲嚎s包文件或者鏈接等。