狩猎 - 银狐网络侧基础设施实践

团伙简介

在2023年初至今，其主要目的为攻击相关公司的财务或信息人员，进行诈骗活动窃取目标资金或获取其他信息数据。

攻击者通过群发密码过期的相关邮件，盗取员工密码，然后用员工邮箱群发内部，主要是扫码输入银行卡密码，以获取非法的经济利益。攻击者在控制目标主机后对目标信息进行分析筛选，筛选出高价值目标（公司高管、老板、财务等人员），通过身份伪装或语言诱导的方式对相关人员实施金融诈骗活动。

当诈骗人员的欺诈行动未能达成预期的目标后，他们可能会采取更恶劣的手段进行报复。他们可能会非法侵入被害人的社交账号，发布一些不适当的内容，如色情信息、虚假的政治观点等，以此破坏被害人的社交形象和信誉。这些行为极大地侵犯了被害人的隐私，可能使他们在社交圈子中遭受排斥，严重时甚至可能导致他们在社会上的形象彻底崩塌，遭受所谓的“社会性死亡”。这不仅对个人的生活带来了严重的影响，也对社会的正常秩序构成了威胁。

该类型攻击活动在近期高频率且持久，希望相关人员警惕。

参考微步在线：

“银狐”：2023年最流行黑产工具，已至少关联5个团伙

https://mp.weixin.qq.com/s/-vvj2RHNNkCxruLlMpfyrA

银狐黑吃黑：利用伪造 MSI 安装包攻击黑产从业者

https://mp.weixin.qq.com/s/UZ557zX-pr428e6d4jO5jw

狩猎银狐网络侧基础设施  

在网络空间的猫鼠游戏中，银狐组织以其高度隐蔽和精密的攻击手法引发广泛关注。本文将深入狩猎银狐组织的网络侧基础设施，聚焦于其三大攻击手段：文件共享站点、虚假钓鱼网站以及云存储服务(OSS)下发的恶意载荷。

（很多人不知道微步已经有了资产测绘我这里提一下，目前的特点是快准狠，所以等于没有缺点 狗头）

Todo：空间搜索引擎是一种专门用于搜索网站的工具（fofa、hunter、censysy、微步在线X社区），它依据网页的元数据和内容，对网页进行分类和排序。根据网站特征，使用空间搜索引擎进行搜索：

1. 确定搜索目标：明确你想要找的网站的特征，这些特征可能包括网站的类型（如新闻网站、博客、论坛等）、网站的语言、网站的主题等。

2. 使用关键词：在搜索框中输入与你的搜索目标相关的关键词。这些关键词可能是网站的名称、网站的主题、网站的特征等。

3. 使用高级搜索：许多空间搜索引擎都提供了高级搜索功能，你可以利用这个功能来精确你的搜索。例如，你可以指定你要搜索的网站的语言、网站的更新时间、网站的地理位置等。

4. 浏览搜索结果：空间搜索引擎会根据你的搜索条件，返回一系列的搜索结果。你可以根据这些结果的标题和描述，来判断哪些网站可能是你想要找的。

5. 进一步筛选结果：如果搜索结果太多，或者不够精确，你可以利用空间搜索引擎的筛选功能，进一步筛选结果。例如，你可以根据网站的排名、网站的流量、网站的信誉等，来筛选结果。

6. 访问网站，确认目标即可。

文件共享站点托管木马  

HTTPFileServer通常是一个轻量级、易于配置的文件共享工具，然而，银狐组织却善于利用其作为一个看似正常的服务来隐藏其真实意图。通过深度分析银狐的攻击手法，我们发现他们倾向于在HFS服务器上搭建一个看似合法的文件共享站点，以转播木马样本，并将其作为后续载荷下载点，从而实现对受害者系统的深入渗透。

示例：

虚假钓鱼网站  

银狐组织针对性地挑选了一些热门软件的下载页面，主要针对一些热门软件如WPS、WinRAR和企业微信等，伪装成官方网站，甚至采用了与正版相似度极高的域名和页面设计，让用户难以辨别真伪。通过在搜索引擎中提升这些钓鱼网站的排名，银狐组织成功地引诱用户下载并安装恶意软件，从而实施进一步的网络攻击。

伪装为官方下载或腾讯软件中心等钓鱼网站

   

示例：

下载文件名类似Double xxxxxx.zip、Setup ιnstaller.xxxxx.zip    

以下统计了银狐喜欢伪装的软件类型：

下发载荷手法：

云存储服务(OSS)  

银狐组织在其网络攻击活动中购买云存储服务(OSS)用于下发载荷，并且倾向于使用日期格式作为云存储服务的域名，将其作为后续载荷下载的链接。

通过对银狐组织的攻击模式进行深入研究，我们发现他们往往会利用格式如"[月份]-[日期].oss-cn-hangzhou.aliyuncs.com"，构建域名，以隐藏其恶意活动的真实性质。这些域名通常被注册在多个云存储服务商中，使得防御者更难以通过黑名单或基于域名的检测机制拦截这些恶意流量。

具体而言，银狐组织可能通过以下形式构建云存储服务的域名，将其作为后续载荷下载的链接：

231222.oss-cn-hongkong.aliyuncs.com              
bypass.oss-cn-hongkong.aliyuncs.com    

这种域名选择策略既简单又有效，因为使用日期格式使得这些域名看似合法，很容易混淆在大量正常的云存储服务中。同时，由于银狐组织高频率地更换域名，防御者很难事先识别和封锁这些恶意链接。

测绘语句示例：

entity:domain domain:"2023*.oss-cn-hangzhou.aliyuncs.com"              
entity:domain domain:"2023*.oss-cn-shanghai.aliyuncs.com"              
entity:domain domain:"2023*.oss-cn-hongkong.aliyuncs.com"

银狐倾向于在下载链接中使用包含特定字符的文件名，这些字符可作为测绘的标识特征。

测绘特征示例：

entity:url (url:"*oss-*/libcef.png" or url:"*oss-*/libcef.exe" or url:"*oss-*/libcef.dll" or url:"*oss-*/decod.exe" or url:"*oss-*/cache.dat")              
entity:url (url:"*oss-*/killav.jpg" or url:"*oss-*/tq.dll" or url:"*oss-*/tq.exe" or url:"*oss-*/1.dll" or url:"*oss-*/1.exe" or url:"*oss-*/Thunder.exe" or url:"*oss-*/XLBugHandler.dll" or url:"*oss-*/quick.exe" or url:"*oss-*/2086_64.bin" or url:"*oss-*/2619_64.bin")

总体而言，银狐组织在测绘网络侧基础设施时展现出高超的技术水平和丰富的经验。对于网络安全从业者而言，深入了解他们的测绘语句，提高对潜在威胁的警惕，是保护网络安全的必要一环。我们将继续关注银狐组织的动态，并为网络安全社区提供及时的情报分享。

样本分析  

（银狐危害甚至已波及到我的租房群，对老百姓已经产生极大危害）

压缩包包含如下文件，其中txt诱导用户退出360软件，并登录PC端微信，以便其进一步传播    

释放的dllhost.exe会向恶意连接发起http请求

   

下载白加黑组件到 C:UsersPublicPictures随机命名，并保存为如下名称

文件信息说明如下表：

名称	文件说明
<随机字符>.exe（UG2pN6ohE.exe、NNiXF.exe）	白文件，会加载目录下同文件的同名dat文件，并使用内置密码"99B2328D3FDF4E9E98559B4414F7ACB9"解压该文件，执行其中的恶意lua脚本“_TUProj.dat”
<随机字符>.dat（UG2pN6ohE.dat、NNiXF.dat）	伪装的dat更新包，其中包含恶意lua脚本文件“_TUProj.dat”，lua脚本用于修补edge.xml 文件头部并加载edge.xml
edge.xml	故意修改了PE头部的文件，用于解密加载edge.jpg最终载荷，并创建任务计划
edge.jpg	最终的执行载荷，为ghost远控变种

exe加载执行同目录下的同名dat文件中的恶意lua脚本，lua脚本内容如下，加载其中硬编码的shellcode。    

该硬编码shellcode会读取edge.xml文件，并修补其头部5个字节（异或0x30 + 0x30），并在内存中加载修补后的edge.xml文件

edge.xml程序会创建任务计划MicrosoftEdgeUpdateTaskUA Task-S-1-5-18，用于执行上述的白文件实现主机驻留。

读取目录下“edge.jpg”文件，从jpg文件中提取数据，解密后在内存中解密出最终的载荷。    

解密出的载荷为gh0st远控变种，拥有键盘记录、远程命令执行、文件浏览、浏览器信息窃取等功能。    

原文始发于微信公众号（硅步security）：狩猎 - 银狐网络侧基础设施实践