本月中国电信云脉SASE技术服务团队在威胁狩猎中捕获了“银狐”新型变种“名单列表_2025”,该样本具有多种对抗调试分析的手段,并利用数字签名伪装、白加黑等手段实现持久化。
名单列表_2025.exe
SHA256 Hash
C537BDC3EFF3C6B1C931714D8D0D6C80FA54352457FEC8596EBDC111DEEE744B
样本具有多种对抗调试分析的手段,包括:检查进程 PEB 调试标志位,检查进程是否包含特定模块,时间差反调试。
运行启动后会解密并加载内存dll,并注入多个系统进程svchost.exe、winlogon.exe、vssvc.exe。
后续会向System32目录释放白加黑文件
"C:WindowsSystem32nvsc.exe"
"C:WindowsSystem32glbdll.dll"
"C:WindowsSystem32glbdll.bin"
"C:WindowsSystem32temp.key"
nvsc.exe为带数字签名的白文件
glbdll.dll为黑DLL
网络行为
注入svchost.exe外联 124.156.115.170 23.226.57.5
写入计划任务
MicrosoftWindowsAppID.NET Framework NGEN v4.0.30416
C:windowssystem32nvsc.exe
IP
124.156.115.170
23.226.57.5
HASH
C537BDC3EFF3C6B1C931714D8D0D6C80FA54352457FEC8596EBDC111DEEE744B
名单列表_2025.exe
480E861569E63A512B24C813C812265F4EF5399F2207416C48BD705CFC807F91
C:WindowsSystem32nvsc.exe
D98C5980C57B5677EAAF337264C52E0BB6C297C3F8E2E62DB67ED116BB337D61
C:WindowsSystem32glbdll.dll
1、删除样本本身: 名单列表_2025.exe
2、删除system32目录相关文件
"C:WindowsSystem32nvsc.exe"
"C:WindowsSystem32glbdll.dll"
"C:WindowsSystem32glbdll.bin"
"C:WindowsSystem32temp.key"
3、删除对应的计划任务
MicrosoftWindowsAppID.NET Framework NGEN v4.0.30416
4、删除远控用的安装软件目录
C:Program Files (x86)Common FilesNSEC
5、升级云脉SASE客户端到最新版本,联系售后服务团队获取处置脚本工具
云脉SASE是融合了中国电信全球优质网络与中国电信安全公司核心安全能力的新型办公安全服务平台,能够为用户提供零信任网络接入、数据外发管控、终端安全、IT效能管理一体化能力,以云原生架构让安全内置企业业务,实现企业办公安全和数据安全的协同管理。面对终端侧新型病毒的威胁,云脉SASE以多模块联动的自动化处置策略将零信任防御思维贯穿至终端安全防御体系,相对传统终端侧单点防御手段,在发生终端失陷等事件时,云脉SASE防御体系可更好地限制威胁扩散,降低整体损失。
供稿:SASE产品线
排版:武云龙
校对:陈师慧
执行主编:田金英
主编:冯晓冬
推荐阅读
原文始发于微信公众号(中国电信安全):警惕“银狐”新型变种!名单列表_2025样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论