安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
昨天笔者发了一篇银狐注入型最新样本的分析文章,原文链接如下:
群里有朋友找到笔者问了一个问题,想问一下是怎么注入的,如下:
笔者此前的分析文章主要关注了它最终在进程中的ShellCode代码部分,对那部分代码进行了详细分析,对注入部分没有过多的分析,因为与之前笔者分析过的一个变种类似,就没太关注了,既然有朋友问了,笔者就注入技术以及其他相关部分做一点补充。
分析样本确实需要大量的时间和精力,特别是针对一些复杂样本,笔者时间和精力也有限,有时候在报告中会省略到一些东西,其实每个样本的分析背后都是需要大量的知识积累的,我每天除了睡觉和吃饭,以及陪伴家人的时间,其他时间就是在研究全球出现的各种各样的最新的攻击样本和全球各地发生的最新的攻击事件,包括国内外各大安全厂商的技术文章等,这些样本都是客户真实遇到的攻击案例,也是全球最流行的一些攻击样本,很多时候可能你们都在休息和娱乐的时候,我还在分析样本,甚至在过年的时候,我只休息了一两天,其他时间也全在分析样本,因为真的有太多东西值得我去研究了,但是必竟我时间和精力也有限,我把分析和研究样本做为了我的兴趣和爱好,也没别的兴趣和爱好,就像一些人喜欢钓鱼,一些人喜欢旅游,我就喜欢玩样本,从各种各样的恶意软件中我能找到快乐,通过分析样本可以知道黑客组织在干啥,可能一般的人也不会太理解这种快乐,而且我也愿意去做这些,喜欢去做这些,因为我也不会别的,咱能力也有限,很多东西其实也不太懂,还需要去学习进步,活到老,学到老呗,样本分析包含的东西真的太多了,因为你要面对的是全球的黑客组织,这些黑客组织开发各种各样的恶意软件攻击武器以及攻击技术等,都需要去深入研究,才能更好的防御,每天全球都有很多安全攻击事件,所以基本上每天都有做不完的事,笔者也就做点自己力所能及,微不足道的一点小事,安全行业未来的路还很长,坚持去做就好了。
现在大家都在讨论大模型,AI技术,确实AI技术是未来的大方向,国家也在大力推广AI技术,而且AI技术现在越来越流行了,在文字、图片、声音、视频等方面,AI都可以有很好的应用,用AI来写一些简单的代码,现在也很成熟了,确实可以解决很多问题,笔者有时候也会使用AI来帮助笔者简化一些工作量,写些小脚本,辅助分析一两个加密函数代码啥的,很方便。
但目前来讲在安全领域,特别是在高对抗的安全实战方向,AI技术可以做的事太有限了,黑客组织也会使用AI做一些很基础性的工作,大量深度技术性对抗工作,还是需要专业的安全人才去做,希望有一天AI可以变的更强大一点,帮助笔者能做更多的事吧,这样笔者也能更轻松一点,在对抗性较低的安全方向,包含安全客服、安全运营、安全运维等安全方向,AI还是很有作用的,能使用AI解决的就不要使用人工,必竟人工成本太高了,特别是高级别的安全专家,也没必要杀鸡用牛刀,浪费人力成本,哈哈哈哈。
对于AI与安全,可以参考笔者之前的文章吧,里面讲的很清楚了,不管是AI也好,其他技术也好,最后安全的对抗就是人与人的对抗,这一点永远不会变,至于说未来会不会替代,这个问题,其实就算没有AI技术,替代你的根本不是什么技术,更不是别人,而是你自己,很多时候,只要你不放弃,就没有人可以替代你,每个人都是独一无二的存在。
每个人都有自己该走的路,该坚持的东西,该过的生活,我也从来不会去干涉别人的路,也没有能力去指点别人该如何走,就像我之前说的,我自己的路都没有走好,未来还有很长的路需要我去走,也许我这条路并不好走,但我也别无选择,我只坚持并专注于做我喜欢做的事就好了,人生的路就是这样的,从来没有白走的路,每一步都是你注定要走的,也不用去管别人干啥,多沉下心来,做好自己该做的事。
补充分析
1.在%appdata%的Roaming目录下生成ChsIME.dat加密的压缩包文件,然后使用解密密钥Panzer0解密,解密之后就会在指定的目录下生成自启动的文件,如下所示:
2.读取目录下的static.ini文件,如下所示:
3.然后定位static.ini图片中的ShellCode代码,如下所示:
4.使用EnumCalendarInfoExA调用ShellCode代码,如下所示:
5.ShellCode代码读取加密的数据到内存当中,如下所示:
6.然后解密加密的数据,解密之后,如下所示:
7.再次解密代码,得到最终的PayLoad代码,如下所示:
8.解密后的PayLoad代码,采用C++语言编写,编译时间为2025年3月2日,如下所示:
9.遍历explorer.exe进程,如下所示:
10.然后调用开源注入工具注入ShellCode代码,如下所示:
与此前分析的一个变种使用的开源工具一样,这款开源注入工具代码地址:https://github.com/SafeBreach-Labs/PoolParty
11.发现这个工具Star的人还蛮多的,如下所示:
12.群里之前也有人分享过这个,如下所示:
我记得之前笔者分析过一个银狐也是使用了这个开源的注入工具,相关的文章
里面的注入工具,同样是使用PoolParty注入工具,而且这个注入型样本与此前的注入型样本有相似之处,但又有一些新的变化,银狐黑产组织一直在更新自己的样本。
【友情提示】
经常有人找笔者要样本,如下所示:
笔者这里从不不私下向任何个人以及任何组织提供任何恶意软件样本,也不上传任何样本到任何平台,有些样本能提供IOC,笔者会提供,有些样本可能IOC都不会提供,也不用来找我要了,如果有需要学习和研究的,可以去参考笔者之前提供的威胁情报网站,里面有很多有些是免费下载样本或收费下载样本的,大家自行去研究学习,不用来私下向笔者索要任何样本。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):银狐注入型最新样本注入技术分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论