近期,各大防病毒软件平台的威胁情报中心都监测到一批相对更加活跃的“银狐”系列变种木马,他们的安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为,还会下载 TrueSightKiller 驱动关闭杀软,同时下载创建计划任务的 Shellcode 实现持久化,最终下载后门模块实现远程控制。这里给出火绒检测的截图给各位师傅看下
已知的攻击方式包括
1、 通过社交软件微信、QQ、Telegram、Skype等软件为主要传播途径,可能发送zip文件和钓鱼链接。
2、 通过钓鱼网站进行传播。
3、 通过邮件进行鱼叉式钓鱼攻击,引导受害者点击页面,随后页面自动跳转下载传播。
四、攻击载荷
在整个攻击链中,有很多的攻击载荷,部分进行了序列化,也有一些是解密后直接内存加载执行,主要攻击载荷如下表:
| 文件名 | MD5 | 描述 |
| 916.chm | ddf101247cde75e58583d6f906c77c28 | 用作诱饵的HTML 帮助文件 |
| config.txt | 115be517eea17179a0f62e32659d154c | 负载配置文件 |
| PartyXboxLive.dll | b4ba2adf8e99debd8ae898c7b3ff243c | 主要DLL的Gzip文件 |
| packRAT | f9067925a5fd08c77ecceb93c035c94d | 下载远控木马的loader |
| PartyXboxLive.dll | 5e3a97d8e40cef33e03974d5ac380c09 | 主要loader模块 |
样本执行流程如下所示:
接下来我们来进行样本分析!
该样本最初通过分配内存,复制 0x14002EB20 处代码并调用。
随后通过异或算法对 210002E 处代码进行解密。
之后的具体逻辑如图所示,包含检测沙箱、检测安全软件、关闭安全软件、使函数失效、创建互斥体以及判断管理员权限等操作。
其中创建互斥体的代码如下,此操作用来检测两个互斥体是否存在,若不存在,则先创建其中之一互斥体,后续创建另一个互斥体。
检测管理员权限代码如下,如果没有权限则会重新用管理员权限打开。
我们再看下它与安全软件对抗的模块
样本会通过 VirtualProtect 函数更改内存权限,然后将该函数第一个指令替换为 retn ,使 AmsiScanBuffer 和 NtTraceEvent 函数失效。
检测是否存在 360tray.exe、360sd.exe、360safe.exe 进程名,若不存在,则进一步搜索相关窗口类名为 Q360SafeMonClass 的窗口。
如果检测到类名为 Q360SafeMonClass 的窗口,则会利用 PostMessageA 函数将其关闭。
其中 EnumWindow 遍历窗口时,通过 ChangeWindowMessageFilterEx 函数使该窗口允许接收 WM_QUIT 指令,随后利用发送消息的方式关闭该窗口。
如果安全软件不存在,则会将 'C:\','C:\ProgramData','C:\Users','C:\Program Files (x86)' 路径添加到 Windows Defender 白名单中,以躲避检测。
总结一下
银狐家族木马的出现已在网络安全领域引发了广泛的警觉,其严重性远超传统网络威胁。作为一种高度隐蔽且复杂的恶意软件,银狐木马具备极强的传播能力,能够悄无声息地潜伏在受感染的系统中,不易被察觉。它并非单独使用某一种攻击技术,而是经常与社会工程学、网络钓鱼等其他高级攻击手段相结合,形成更具破坏力和隐蔽性的攻击链条。
银狐家族木马的核心目标在于窃取各种敏感信息,包括个人身份数据、财务信息等关键资料。这些信息一旦落入不法分子手中,可能被用于各种非法获利活动,如网络诈骗、身份盗窃、甚至更为复杂的欺诈交易。这种恶意软件对个人和组织的打击是双重的:不仅可能导致严重的经济损失,破坏财务稳定,还可能引发大规模的隐私泄露,威胁用户的个人安全。
针对银狐家族木马的威胁,网络防护措施的提升显得尤为关键。由于该木马具备高度的隐蔽性和进化能力,传统的检测工具可能难以完全防范。因此,个人和企业应当积极提升自身的网络安全意识,实施全面的信息安全策略,确保防护工具和系统安全补丁及时更新。定期对系统进行安全扫描,设置多重身份验证机制,并增强对可疑活动的监测,将是有效减少此类威胁影响的重要步骤。
通过不断提升技术防护手段和安全意识,可以更好地防范银狐家族木马带来的风险,从而保护个人和组织免受网络攻击的侵害。
扫码加充电群,提升自己!
👇👇👇
原文始发于微信公众号(暗影网安实验室):警惕“银狐”变种木马,样本实例分析!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论