恶意文件名称:
深信服XDR与“银狐”的刀光剑影
威胁类型:
后门、木马
简单描述:
“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。
恶意文件描述
近日,深信服深盾实验室联合XDR在日常运营中发现一起针对用户的钓鱼事件,深入分析是最近流行的银狐家族
受害者通过浏览器从恶意网站下载伪装的银狐木马,伪装的名字包括但不限于“向日葵远程”,“百度网盘破解版”,“钉钉”等知名软件,恶意软件被下载到本地之后后缀名通常为exe、zip、rar当解压或直接运行时会要求以管理员权限运行,并可能引导关闭杀毒软件(关闭杀软是非常危险的行为,任何时候都不建议用户关闭),病毒运行之后会在用户主机留下后门并持续监控主机,等到时机成熟攻击者将会通过微信等程序实施金融诈骗。
恶意文件分析
病毒执行流程分析
此次样本修改了程序正常的入口点,在WinMain函数之前的执行了恶意代码:
病毒运行之后检测是否存在360tray进程,之后联网下载后缀为xml,jpg,dat,exe的多个文件至%PUBLIC%目录和C:ProgramData目录中,再通过傀儡进程技术运行释放出来的exe文件。
傀儡进程运行之后首先从dat文件中解压出四张图片和一个dat文件,之后创建多个计划任务执行%PUBLIC%和%ProgramData%目录下的文件
同时创建注册表HKEY_CURRENT_USERSOFTWARESauron和HKEY_USERSS-1-5-21-{[d-]+}SOFTWARESauron猜测是用于记录病毒运行的时间。
之后进入回连阶段接收C2(47.76.169.139:7000)服务器指令。
IOC
47.76.169.139:7000
http://47.76.169.139:7800/qq-4
http://47.76.169.139:7800/1
http://47.76.169.139:7800/2
http://47.76.169.139:7800/3
http://47.76.169.139:7800/4
5E85063FC706DA14C2B45A6C54DB9DCB:向日葵远程.exe
E4E3C98C784A15DE6F4F39283D2677D8:B6Utc.dat
A687DEDC4A864C3F68590C12BA54D42D:B6Utc.exe
EC24C69F707E2ABD84969520AF93905A:edge.jpg
E85E5FA4C7F5C11775D0AECAF7FFD709:edge.xml
A1B8D7C3D05936631F53D85A9740B202:NVMVBOq.dat
BDC665D84C49568A79784BBCED257181:NVMVBOq.exe
F7C9B21751FD411E5E94838F561B3DEB:5Q2w.dat
FC1C707C27AE30E5933C82B1B2521511:5Q2w.exe
CD162B3289C6AE29F3DCF754C6DBA9C5:95w6a.dat
A33A8FA67C8ED579AEDE23CA3D1701E4:95w6a.exe
293747B51BB69BC0FA7D13009A75CB21:B5y.dat
8C3C32132389D551B67AA29A9E6F377D:B5y.exe
BBBD40F177542B39321D0A59F4DC222B:edge.jpg
81B1300499A11A2057BBD803FBE9EE04:edge.xml
F96EB5C994253609C94E8DCCB1C9C851:Mtwm9a.dat
03E9BD04DEE800115AB863027F82C8AB:Mtwm9a.exe
解决方案
处置建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
1. 终结病毒本体及其子进程。
2. 删除文件本体和C:UsersPublic{随机字符串}下的edge.jpg、edge.xml、*.dat、*.exe;删除C:ProgramData{随机字符串}下的所有文件。
3. 删除%TEMP%目录下的_ir_tu2_temp开头的目录及里面的文件,删除%TEMP%目录下的Xshell 6 Update Log.txt;删除文件C:xxxx.ini
4. 删除注册表HKEY_CURRENT_USERSOFTWARESauron和下面的键值,删除注册表HKEY_USERSS-1-5-21-{[d-]+}SOFTWARESauron和下面的键值
5. 删除任务计划程序中指向%PUBLIC%和%ProgramData%目录下程序的任务计划。
原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】深信服XDR与“银狐”的刀光剑影
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论