从一次应急响应到发现银狐

“银狐” 并不是一个单独的黑产团伙，而是一个当前在黑产圈广泛使用的、去中心化传播的黑产木马，众多黑产团伙都在尝试获取、修改、使用。

事件背景

2024 年 12 月 13 日晚 11 点左右、某客户单位员工在加班时发现其外网办公终端鼠标自动移动、并点击查看微信聊天记录。

怀疑该终端感染远控木马、随后自己尝试多个终端杀软进行自动查杀未检出。

在自己进行断网、硬盘隔离操作及一些软件卸载操作后、通知到我们的工程师。

2024 年 12 月 14 日、 周六 10 点左右。 我们工程师到达现场开始排查

排查过程

由于受控 DMZ 区终端未部署任何对外服务、且严格依据系统更新及口令复杂度要求执行。

且该单位存在近期试用员工试用后便自己离职的异常人事情况。

故一开始的调查方向倾于内部人员所引起的数据泄漏。

优先排查了 USB 使用记录及是否由于内部人员盗用口令导致:

对每个 U 盘的使用者进行询问发现并无作案动机因素。

且受控终端中未开启 RDP 服务，种种情况表明也非内部人员口令盗用所致。

排查是否存在恶意可疑程序时、发现存在奇怪的自启动项:

该程序签名描述为育碧游戏崩溃报告相关、但程序名及目录均极为可疑。

同时查看 $MFT 情况、发现该文件时间戳曾被篡改过:

并被加到了 windows-defender 的异常排查项中且该目录还被设置成了隐藏目录。

这里由于一开始其它杀软直接将 windows-defender 服务关闭了、最开始反而忽略掉了、浪费了一些时间。

对该目录下文件进行简单分析即可发现异常:

很明显 libcef.dll 为恶意 dll . 而 4Y0vlga.exe 为所利用的白程序加载器:

毫无疑问，这应该就是后续用于通信的远控后门了。

但是还有一个关键问题: 到底是怎么中招的昵?

对系统中所有涉及进程执行相关的日志进行分析、可以查找到添加反病毒例外的时间戳为: 2024/11/27 20:33:26

而在 2024/11/27 20:33:25 时、系统有发现木马程序:

windows-defender 有检测、但是没有拦截成功、之后就被程序正常创建进程并添加到排除项了。

自此基本可以确定被攻击路径:

11 月 27 日该员工在 DMZ 区办公终端中违规尝试 TG 聊天软件、在尝试对 TG 进行汉化时、接收到了从 TG 群组中发送过来的钓鱼汉化包、之后攻击者潜伏了一段时间或一直在晚上下班时间段悄悄尝试挖掘该终端中的敏感业务数据、直至 12 月 13 日该员工加班刷手机时发现电脑桌面异常情况。

样本分析

对所捕获到的样本进行分析、我们发现 11 月份到 12 月份之间的这类样本都存在特征上高度的可似性与流程上的一致性。

流程与特征

所有此类攻击行动往往是由一个初始的游戏或是其它所伪造的 xxxx程序.exe 开始、在本次事件中是由一个 TG 语言替换程序开始:

一旦受害者点击运行后便会从 ipv6域名ad59t82g.com中下载相关的恶意组件, 并且释放一个xxxGame.exe这一类与游戏相关的白程序作为加载器。另外加三个.bmp或.tmp格式的恶意图片。从中经过xor解码后提取出恶意的dlllibcef.dll伪装成chorimum相关的cef 处理库。

而在本次事件中我们所发现的 libcef.dll 已经不像是最初的未进行过膨胀的初始版本:

我们这里所捕获的相比源文件足足膨胀了几万倍、所以在一开始直接上传沙箱时沙箱会直接自动跳过不采取任何分析、多次上传后才逐渐有引擎能够检出:

从关联的样本看可以发现执行模式基本都是一致的:

所有的恶意 dll 的文件说明都含有校园政务相关字样。

而作为加载器的则分别是 劲舞团联合登陆器.exe 或模仿 LOL 游戏启动器这一类的白程序、各不相同。

在从恶意域名 ad59t82g.com 中下载下来了 text.bmp、d.bmp 及 t2.bmp 后三个文件后会在受害主机中生成一个随机目录：

并将三个文件分别储存为: t3d.tmp 、t4d.tmp 以及 t5d.tmp

接着会通过密钥 lalala123% 将 t3d.tmp 解压得到白程序游戏加载器及相关的两个白 VC 运行时库。

之后从 t4d.tmp 中通过异或 0x67080000 得到 libcef.dll.

t3d.tm 中解压出来的白程序加载器则会将主要的恶意程序 libcef.dll 通过 dll 侧加载的方式加载到内存中、然后通过检查窗口名的方式对国内常见杀软进行检查。

若未检测到杀软之后则会将 4Y0vlga.exe 这一类随即名称的白游戏加载器添加到注册表自启动项中:

SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

并命名为 WINDOWS . 这也是为何我们在排查时首先可以看到这个奇怪的自启动项的缘故:

之后则会通过调用 WINDOWS APIshellexecuteA 函数来执行我们的白游戏加载程序。

而如果有通过窗口名检测到国内杀软时、该程序则会再从 ad59t82g.com 中下载一个 base64 编码的 powershell 命令、添加 windows-defender 排除项目的指令将整个恶意目录添加到 windows-defender 排除项中去。

在自启动项等持久化操作及杀软排除项执行完毕后、libcef.dll 会使用同样的异或密钥异或 t5d.tmp 解码出 shellcode 并注入。

shellcode 中会首先通过搜索 codecode 或 codemark 这一类存在版本差异的硬编码字符来检索到 C2 的地址配置。在本次现场所发现的 C2 地址则是: 118.107.46.107

在得到 C2 地址后之后就是 winos4.0 正常的与 C2 进行心跳包同步，

后续则就是 winos4.0 银狐木马的正常后门功能了:

不过比较少见的是该后门中似乎还额外添加了专门针对 chrome 中加密货币钱包插件的检测:

若确实发现存在 

Metamask

 或 

OKX Wallet

 等加密钱包插件时它则会特别存储有关信息并定期回传。

结论

从样本特征及流程来看、本次应急响应所发现的攻击活动应该不是专门针对我们该客户单位的特定攻击行为。

样本 libcef.dll 在文件描述中特地标注的 校园政务 以及特意使用多个游戏相关的白程序来作为启动器、以及少见地会专门通过屏幕远程连接过来翻取微信记录等行为。

都说明这应该是某个惯用银狐木马的黑产团伙专门针对我国教育行业所开展的窃密行动。

截至目前、该恶意后台下发地址仍未完全关闭:

说明有关的钓鱼活动仍在活跃当中、

与高校及教育相关的行业客户朋友应对此类攻击保持密切关注。

IOC

• • ip/domain:

ad59t82g[.]com202[.]79[.]173[.]4104.21.22.88118.107.46.107

• • SHA256Hash

2d48bc4059ae1cf13a998927326ce4bf0e86fa63660b74934c1576f0dccbb84d libcef.dllc9817d415d34ea3ae07094dae818ffe8e3fb1d5bcb13eb0e65fd361b7859eda7 NetDiagnotor.exe (天谕客户端检测工具)2b60c207e6be699094f197d60a67161c58be6fe4d380ef5112bba88cd1b8331fLauncher.exe (LOL启动程序)284cf31ebb4e7dc827374934ad0726f72e7aaef49cadc6aa59d2a2ff672d3fe8 gpatchex.exe (梦幻西游更新程序)b2a3aaf4eb4deb85462e1ee39c84caf2830091c1bff8014ad13147897b25e24c Duoyi(战盟安装程序)b763d77b7aaa83d6c4a9e749cd3c7638127e755d3dc843b15b6c4afce1f468b5 劲舞团联合登录器.exe (窗口化)dcdbc3b246233befa25b67909a01b835f1875f4047875ef13f1b801cd2da6fcd Duoyi(战盟安装程序)3fae0495fd0acc7722c2482c0ef3c6ab9ee41acbcaac46a8933c7b36b8896378 crashreporter.exef41236ab5ceffc5379fcf444de358cbc6f67beb31d0e0fd3f7ed0f501eb740ff yxqxunyou.exe (英雄联盟优化)80b1d6411e29e51e54f20f46856d31b28e087e9244693e65d022b680c4ba00ce劲舞团联合登录器.exe (窗口化)1a48347f5fc7c63cc03f30810f961133bd3912caf16ac403e11bc3491117181d manualupdate.exe (天谕手动更新工具)8748bb7512f16f8122779171686abe0fa0060f1126298290e240457dc90d0aa7MatRepair.exe (反恐行动客户端修复程序)1354796b44239eef177431584848029161c232401a9580481dbfb5196465250e you.dllbef32532923903b12f04b54dd06ec81661f706c3b1397bc77c45492db3919248 you.dll033965f3063bc2a45e5bd3a57ffce098b9308668d70b9b3063f066df5f3e55dd you.dll922512203c7b9fa67e8db2f588ff4945f63e20c4bc0aafccdba749a442808ace you.dll04edb6585118d09205ee693a54249ed68ebbf68b3fc3d711d2aa0c815b7b3a23 shellcode51c7f320b95a64bcff050da86c7884bb4f89a5d00073d747f0da7345c8a4501f学籍系统.dllff0c28c81cd0afd78f78c79863c9f4c8afd9d3877a213dfc2dbb55360b7d93ab ConsoleApp2.exea27dc6e5aea0c3168117cfde2adb01f73f20881fc6485b768915216c46115064 差异屏幕.vll8f0079a41a262536f502b4b57473effd6ab7955bc2d6e99e0910df18e990a9f6文件管理.vll37104f3b3646f5ffc8c78778ec5fdc924ebb5e5756cb162c0e409d24bedf406d上线模块.dll (online module)a30b68ed39c1517d10b747c2fcd7a72cb12dc8f434203243e7c50df0e56d17d0 登录模块.dll (login module)7f4836d0c0061c79e1d28e59f4d6e66ecb26a412e77660aa4d4bf25b50a165e2Crypto.com买币教程~.exe217bc69394f4a07b25d503cc9557fac274c0a52be44d1079ade7d942936e83f8数据异常核对.exe1354796b44239eef177431584848029161c232401a9580481dbfb5196465250eMatRepair.exe35bc302812d841b6bcd357693ec270caf570210b648b7dfd7c24b0d812aacf2bEAappInstaller.execdceea00a5f53e49063c455eea3f6a62c0713d01813a55a2427ad758d11a15bf 恶意 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

原文始发于微信公众号（君立渗透测试研究中心）：从一次应急响应到发现银狐