首页 > 安全资讯 > 正文

银狐木马技术分析

 “银狐”木马概述

“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。

木马传播

“银狐”木马常见的传播路径有以下三种。

一、 IM传播

通过此类方式进行传播的木马,通常利用QQ、微信等即时通信(IM)软件发送钓鱼文件或网站链接,诱导受害者点击并进行钓鱼传播。而其发送的文件或内容往往会命名为“成绩单”、“转账通知单”等具有诱导性的名称方便扩散。

此类方式传播的木马的技术特点为:擅长使用白利用、内存loader等技术手段。

二、 钓鱼网站传播

通过此类方式传播的木马,一般会伪装成税务机关的钓鱼网站,使用微信钓鱼进行传播。其在传播过程中常用的名称有:发票、单据、报税、税务软件等。

此类方式传播的木马的技术特点为:擅长使用白利用,木马呈现多阶段的投递方式,并使用某云笔记存储其payload数据。

三、 虚假软件传播

此类木马往往伪装成常用软件,常见的就有:微信、WPS、钉钉等数十款软件,通过在主流搜索引擎上购买流量进行钓鱼传播。近期的数据显示,此传播方式是上述三种常见传播形式中传播量最大的一种。

此类木马的技术特点为:使用广告软件进行捆绑式推广,利用复杂形式的白利用,并呈现多阶段的投递方式。 

技术详解

下面的技术分析,会以前文提到的传播最广泛的第三类木马为例进行介绍:

银狐家族通过以WPS、MS Office、PDF等安装包的名义进行钓鱼攻击。下载的文件名称常见的有“wpsSetup.exe”、“抖音小店.exe”、“钉钉一键安装.exe”等,且受害者众多。此外,该家族还常使用一些其他方式用于对抗:例如研究人员捕获到的木马样本通常都加了VMP等强壳,并且传播者会根据不同IP或时间段,分地分时地发布针对性样本,进行针对性攻击或对抗安全测试分析。根据后台大数据显示,每天有超过1000+终端用户被该类木马钓鱼攻击。

常见钓鱼页面

一、 伪官网钓鱼页面

二、 伪下载站钓鱼页面

 

样本分析

木马样本投递方式多样,伪造的软件多达数十款。包括但不限于:WPS、微信、搜狗拼音、钉钉、CAD、PDF、xxx加速器、压缩软件、PPT、美图秀秀、向日葵等各类常用软件。下文以伪装为WPS安装程序的木马为例进行分析。

木马会分批次逐级释放文件,释放过程如下:

当木马检测到存在360tray进程时会,伪造360弹窗,试图误导用户主动退出360相关安全软件:

之后,木马会解压内部数据,并将其释放到%ProgramData%下的随机10个大小写字母目录中,被释放的文件名为8个随机大小写字母。

继而,使用白利用(DLL侧加载)手段,如被分析的木马利用到了“NetSarang Computer, Inc.”签名的升级程序:这是NetSarang公司旗下XSHELL、XMANAGER、XFTP、XLPD等系列工具的更新程序,数字签名正常。如下图所示:

被利用的白程序运行后,会加载同目录下后缀为.dat的同名文件。加载后会解压该文件并解析其中的Lua脚本代码,之后执行用以完成软件更新。而木马便利用这一点,让白程序从其精心构建过的.dat压缩包里解压出编码过的shellcode并执行。其解压密码为:

99B2328D3FDF4E9E98559B4414F7ACB9

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。这部分代码的修复逻辑及结果如下:

修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留

木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:

远程控制

最终执行的远控木马的部分主要远程控制功能有:

1、 键盘记录

2、 检测判断环境(安全软件、IM软件等)

3、 进入钓鱼QQ(获取QQ密码)

4、 获取浏览器信息

5、 记录用户日常操作

木马还会定时截取屏幕并保存到%ProgramData%\quickScreenShot目录下。

6、 更新C2防止被封

为防止C2服务器地址被封导致后门失效,其后门模块还会从ip.txt文件中获取最新的C2地址进行更新替换:

多层内存解密加载,360杀箱云检出图:

此外,该远控木马也具有常见的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为。 

攻击意图

经过分析人员研判,该团伙千方百计进行免杀传播并向政企设备植入木马,其主要是为了窃取此类用户的隐私数据,进而为进一步的诈骗提供帮助。

攻击者不仅会通过一般的钓鱼方式进行传播,还会利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,政企单位应对此类攻击事件提高警惕并加强相关安全培训,防范该家族木马的攻击。

360安全卫士

热点排行

用户
反馈
返回
顶部