01
银狐概况
银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播。它通常利用具有诱导性的文件名,如“成绩单”、“转账通知单”等,通过QQ、微信等即时通信软件发送钓鱼文件或网站链接,诱导受害者点击。
此外,银狐木马擅长使用白利用、内存loader等技术手段,呈现多阶段的投递方式,并使用云笔记存储其payload数据。它能够迅速传播和潜伏在系统中,具备高度隐蔽性和复杂的功能。
02
传播方式
1
搜索引擎SEO推广
一直以来,银狐类钓鱼木马惯用的传播手段便是利用搜索引擎的SEO推广机制,将流量吸引至自行构建的虚假站点,再通过虚假站点的误导性内容进行钓鱼传播。
一旦有用户陷入误导,便会跟随虚假指引下载木马安装包,主动安装木马。这类投放方式面向的是普通大众,而虚假站点通常也是直接仿冒各类知名大站,普通用户往往难辨真伪。
图1. 某搜索引擎中搜索到的虚假钓鱼站点
图2. 虚假钓鱼站点页面
2
工具软件仿冒传播
除了通常的SEO推广外,银狐还会仿冒称各类热门的工具软件,目前已知被仿冒过的工具软件主要有:Telegram、v2ray、XShell、MobaXterm等。
例如搜索“telegram中文版下载”,便能够找到大量钓鱼站点,或是找到给钓鱼站点引流的帖子、教程等。这是一类长期活跃的钓鱼群,掺杂有多个木马家族。此类传播方式主要面向的是IT管理人员、外贸从业人员或涉及灰黑产的人士等,一般隐秘程度较高。
图3. 伪装为SecureCRT的银狐木马下载页面
3
钓鱼页面定向投放
在钓鱼页面传播,攻击者则更倾向于针对企业职员进行定向投递。税务稽查类钓鱼页面通常是此类钓鱼攻击实施中的核心一环。攻击者一般通过聊天软件、邮件、短信等方式发送欺诈链接给用户,诱骗用户打开进而下载木马。比如:
图4. 带有木马安装包的钓鱼页面
4
网盘/OSS挂载木马包
这是目前主流的木马安装包的挂载形式。由于安全软件对木马的穷追猛打,使用自建站点传播木马容易被整站封禁,成本较高,导致很多银狐类木马在对抗过程中改用了网盘或云服务商提供的Object Storage Service (OSS)来挂载木马。这样也让防护人员很难根据站点IP或域名进行封禁或者溯源。而在木马下载链条中,只能对单个下载页面进行相对精准的定位和封禁。
图5. 360拦截挂载于网盘中的恶意木马包
5
微信传播
需要特别注意的是,微信作为目前国内最主流的通讯方式也必然成为了攻击者实施其钓鱼攻击而必然选择的传播渠道。而利用微信的传播手段根据账号类型通常又会分为两类:一类是仿冒其他人的微信号,加群或者加个人发起钓鱼攻击。另一类则是利用已经中招电脑上登录着的微信,控制其账号向好友和群内发起钓鱼攻击。
而常见的利用微信的传播方法有如下几种:
发送虚假钓鱼图片
攻击者会在图片中置入下载链接或二维码,之后指引用户使用电脑打开钓鱼站点进一步安装木马的。这种方法虽然不容易直接被安全软件拦截,但是需要用户手动操作。
图6. 攻击者通过微信发送带有恶意二维码的钓鱼图片
直接在群内发送钓鱼文件
这类方法是最直接、最常见的一类钓鱼投递方式,但缺点也较为明显——就是容易被封禁,也容易被安全防护软件拦截。
图7. 直接在微信群众发送钓鱼文件
使用Excel、PDF等方式钓鱼
因为直接发送钓鱼木马容易被拦截,攻击者便又想出了把木马藏在文档中进行发送的方法。
图8. 潜藏在Excel文档中的钓鱼链接
利用微信收藏笔记方法进行传播
此类手段同样也是为了避免直接传文件容易被封禁和被安全软件拦截。攻击者又想出了利用微信笔记的方式绕过封禁进行传播的方法。
图9. 利用微信笔记传播钓鱼文件
以上是银狐的一些主流传播方式。可以看出,银狐的传播方式也是在和安全产品的对抗中不断演变而来,而这个脚步显然并不会就此停止,而是会继续演化。
03
攻击对抗
在完成钓鱼的传播后,木马还要对抗安全软件,实现长期驻留控制用户电脑的目的。以当前较为流行的银狐家族木马为例,主要有几种对抗方式。
1
利用RPC管道远程创建计划任务与服务
服务和计划任务是木马攻击中非常常见的驻留手段。木马可以通过命令或者API调用的方式实现服务或计划任务的创建,例如利用”SC Create”命令或者调用CreateService API创建服务。由于这类命令或者API被大量木马使用,因此大部分安全软件也对这类敏感调用进行拦截。银狐木马为了绕过安全软件的拦截,另辟蹊径使用RPC管道方式创建计划任务与服务。
RPC管道方式创建计划任务是MS-TSCH协议注册计划任务的一种改进方法。传统方式下,ITaskSchedulerService接口中导出的方法SchRpcRegisterTask可被用于创建计划任务,调用者只需要指定计划任务的配置XML并调用该方法即可创建计划任务。因此木马常使用SchRpcRegisterTask方法代替schtasks命令或ITaskService接口创建计划任务,来绕过安全软件检测。
图10. SchRpcRegisterTask方法参数介绍
而银狐木马对该方法进行改进,改进主要分两部分:
构造RPC数据包
调用NdrClientCall3函数向COM Server发送数据包模拟SchRpcRegisterTask方法调用。
图11. 银狐调用NdrClientCall3函数模拟SchRpcRegisterTask方法调用
构造RpcStringBindingComposeW函数调用
在RpcStringBindingComposeW函数调用中指定RPC端点为“\pipe\atsvc”,这使得RPC通信通过管道方式实现而非常规方式。
图12. 银狐RPC调用初始化部分代码
这两个改进有效规避了对SchRpcRegisterTask方法的调用,并且避免了出现相同的路径参数,从而规避常规杀软,EDR产品的监测。
RPC管道方式创建服务的攻击手法最早公开于2022年,该方法通过简单调用CreateFile函数和WriteFile函数模拟通过管道进行RPC通信,向服务管理相关的COM Server发送特定的消息实现服务的创建、执行、删除等操作。该方法规避了对敏感API的调用,仅使用简单的CreateFile函数和WriteFile函数就完成命令执行。
图13. 2022年公开的CreateSvcRPC项目测试示例
2
进入系统后的“大展拳脚”
银狐木马主要利用上述手段实现命令执行目的后,便会使出浑身解数在系统中进行各类恶意操作。
SecLogon伪造父进程
SecLogon滥用方法最早公开于2021年。起初,CreateProcessWithTokenW和CreateProcessWithLogonW函数被用于以辅助登录的方式启动进程,也叫SecLogon,最常用的地方就是Windows的UAC弹窗。然而,这两个函数本质是以RPC调用的方式实现SecLogon的,需要调用者将自身的进程信息告诉COM Server,COM Server才能知道是哪个进程发起的SecLogon。
因此这两个函数会调用GetCurrentProcessID函数获取自身PID并发送给COM Server,COM Server会将其作为新创建进程的父进程PID。而GetCurrentProcessID函数是通过TEB结构体获取当前进程PID的,这就存在被利用的风险——攻击者可以修改当前进程TEB,从而让GetCurrentProcessID函数获取错误的PID并发送给COM Server。
图14. SecLogon滥用方法介绍
银狐木马正是利用这一方法,调用CreateProcessWithTokenW 和CreateProcessWithLogonW函数创建进程并给COM Server发送了错误的PID,从而导致新创建的进程其父进程PID是错误的。“银狐”木马通过该方式伪造父进程,构造了一个错误的进程链迷惑安全软件,从而绕过安全软件的拦截。
发送消息尝试结束安全软件
银狐木马在进入机器后,会遍历窗口查找安全软件的窗口,并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。
图15. 银狐尝试发送消息关闭安全软件
模拟点击安全软件拦截弹窗
银狐木马在运行生命周期中会创建一个辅助线程,该线程的功能就是循环查找安全软件的拦截弹窗,一旦出现安全软件拦截弹窗,立即通过mouse_event、InjectMouseInput、NtUserInjectKeyboard等函数,模拟用户操作来点击“允许”按钮,从而规避拦截。
图16. 模拟鼠标点击来关闭安全软件拦截弹窗
PoolParty注入技术
PoolParty注入技术最早公开于2023年。该技术包含8种不同的注入变种,其主要原理是通过将恶意工作项插入目标进程的线程池中,从而使目标进程执行插入的工作项,实现另类的代码注入。该方法能避免对CreateRemoteThread等敏感函数的调用,从而规避安全软件的拦截。
图17. PoolParty注入技术图解
银狐木马利用PoolParty注入技术代替常规的代码注入方法,将代码注入到系统进程种执行,规避安全软件拦截。
图18. 银狐利用PoolParty注入技术部分代码
此外,木马还会使用其它攻击方式。这其中通常包括利用一些安全软件、系统维护工具的驱动来关闭安全软件。利用软件兼容性策略,诱骗安全软件自行关闭等方法。
可以说银狐是一个武力值颇高的狡猾木马。使用360终端安全产品,均能够有效应对这些攻击技术。
04
系统驻留
一般病毒木马,即使有电脑中招,用户通过杀毒清理或杀软的主动扫描、推送扫描机制,也能够很快对其灭活。所以在完成杀软的防御对抗后,木马还要想方设法的延长其存活时间。
常见的木马驻留方式,主要是Run自启动项、服务项目、计划任务等。这些方式,在银狐木马中也都有体现,但银狐木马对其进行了一些“创新”。
1
利用系统程序,加参数脚本实现启动
利用系统中的一些程序,实现特定功能,这在木马攻击中非常普遍,银狐木马会选择一些较少被使用到的程序实现该方法。比如,木马使用FTP静默执行特定脚本的方式,实现启动。系统的FTP程序本是用来访问FTP站点的,但通过特定的命令参数,可以使用程序的启动,连环利用类似的策略,攻击者就可以实现在没有常规木马文件落地的情况下实现木马的驻留。
图19. 木马利用FTP实现系统驻留
2
利用企业管控软件、安全软件实现长期驻留
企业管理管控软件,本身是服务于企业对设备的管理的,具有一定的监控和控制功能。这些软件都是属于正规软件,一般不会被安全软件检出和清理。同时这类软件本身具有防卸载、防关闭的能力,普通用户如果被安装,也很难卸载清理。银狐木马就是看中了这一点,在木马驻留后不久,就会迅速向用户电脑安装这类软件,实现长期控制。
在我们协助用户处理木马时,已经多次出现同时安装多款企业管控软件的情况:
图20. 木马利用企业管控软件实现系统驻留
3
360终端安全针对系统驻留的检出能力
目前360终端安全产品,通过全网大数据能力,已经可以支持阳途、固信、IPGuard、济南安在等多款企业管理软件的自动判别。如果发现是被银狐安装管控的,可实现一键卸载,一键灭活,攻击者装再多后门也没用。
图21. 360终端安全对于木马的系统驻留进行有效检出
其它的驻留方式,还包括跳板程序、利用正规软件功能等等。但不论木马再狡猾,360终端安全产品均会第一时间跟进处置。
05
盈利手段
目前,银狐类木马的主要危害还是集中与“信息窃取”,以及因此产生的电信诈骗。攻击者利用其掌控的电脑,收集用户的个人信息以及企业信息,伺机发起诈骗。
因此,银狐木马特别偏爱企业职工——尤其是企业财务人员。其窃取的主要信息包括:微信密钥与聊天记录、企业财税文件、企业工资单等企业财务相关内容。另外木马还会实时检测用户对电脑的操作过程,掌握用户的身份与操作习惯等。
图22. 受害者自述被木马控制后的真实情况
但除了用于诈骗外,窃取虚拟货币,以及利用被控制的“肉鸡”实施挖矿,进行DDoS攻击也在部分银狐木马的“菜单”中。
06
后台木马
银狐使用的木马众多,免杀者、木马作者也“不计其数”。其中使用较为广泛的一款,是一个被称为WinOs的Gh0st改版远控。我们近期捕获的一个版本是银狐WinOs 4.0。
银狐WinOs远控具备完整的功能体系和控制架构,能够管理数千个终端节点的同步连接。其架构主要由核心的上线模块和丰富的功能模块构成:上线模块负责维持通信链路,接收指令并调度各项功能;功能模块则提供多样化的管理能力,涵盖系统、网络、安全等多个维度的操控需求。其功能简图如下:
图23. 银狐WinOs 4.0功能简图
银狐木马的功能也是模块化构造的,其主要模块概览如下:
图24. 银狐WinOs 4.0模块概览图
为了方便攻击者统一管控被感染的受害客户端,木马还“贴心”的提供了主控程序:
图25. 银狐木马主控程序
作为一款功能强大且复杂的综合型木马,银狐还提供了丰富的插件库:
图26. 银狐木马主插件功能模块
07
安全提示
针对此类攻击,安装有360终端安全客户端的用户无需过度担心,只需正常开启360客户端并确保其防护功能生效,其余的只要交给360即可。
图27. 360客户端有效拦截银狐木马
对于各类钓鱼攻击,我们向广大用户提出以下几点安全建议:
1. 安装安全软件并确保其防护功能已被完整开启,保证安全软件能有效保护设备免受恶意攻击;
2. 相信安全软件的判断,切勿轻易将报毒程序添加至信任区或退出安全软件;
3. 在确定安全性之前,切勿打开各类即时通信软件或邮件中附带的可疑附件或链接地址。
而针对银狐木马本轮攻击的特点,我们进一步呼吁各企事业单位或政府机关:
1. 人员角度:重视对财税人员的信息安全培训,加强财税人员的信息安全意识和识别能力;
2. 技术层面:通过各类软/硬件防护体系的构建,对财税设备与各类服务器设备、一般办公设备、其他类型重要设备均进行安全隔离和专项防护。最大限度的保障各类设备组群的相对独立性及安全性;
3. 制度层面:完善财税等重要岗位的责任制度,将信息安全的相关能力和事故影响纳入到考核指标及问责体系当中。
推荐关注
原文始发于微信公众号(乌雲安全):再谈银狐:百变木马银魂不散
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论