银狐木马技术分析

2023-08-16 17:58:07
我要分享


微信扫码分享

“银狐”木马概述

“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马，在获得受害者的计算机控制权限后会在其系统内长期驻留，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。此外，该家族也经常使用高仿微信号进行诈骗。

木马传播

“银狐”木马常见的传播路径有以下三种。

一、 IM传播

通过此类方式进行传播的木马，通常利用QQ、微信等即时通信（IM）软件发送钓鱼文件或网站链接，诱导受害者点击并进行钓鱼传播。而其发送的文件或内容往往会命名为“成绩单”、“转账通知单”等具有诱导性的名称，方便扩散。

此类方式传播的木马的技术特点为：擅长使用白利用、内存loader等技术手段。

二、 钓鱼网站传播

通过此类方式传播的木马，一般会伪装成税务机关的钓鱼网站，使用微信钓鱼进行传播。其在传播过程中常用的名称有：发票、单据、报税、税务软件等。

此类方式传播的木马的技术特点为：擅长使用白利用，木马呈现多阶段的投递方式，并使用某云笔记存储其payload数据。

三、 虚假软件传播

此类木马往往伪装成常用软件，常见的就有：微信、WPS、钉钉等数十款软件，通过在主流搜索引擎上购买流量进行钓鱼传播。近期的数据显示，此传播方式是上述三种常见传播形式中传播量最大的一种。

此类木马的技术特点为：使用广告软件进行捆绑式推广，利用复杂形式的白利用，并呈现多阶段的投递方式。

技术详解

下面的技术分析，会以前文提到的传播最广泛的第三类木马为例，进行介绍：

银狐家族通过以WPS、MS Office、PDF等安装包的名义进行钓鱼攻击。下载的文件名称常见的有“wpsSetup.exe”、“抖音小店.exe”、“钉钉一键安装.exe”等，且受害者众多。此外，该家族还常使用一些其他方式用于对抗：例如研究人员捕获到的木马样本通常都加了VMP等强壳，并且传播者会根据不同IP或时间段，分地分时地发布针对性样本，进行针对性攻击或对抗安全测试分析。根据后台大数据显示，每天有超过1000+终端用户被该类木马钓鱼攻击。

常见钓鱼页面

一、伪官网钓鱼页面