“银狐”木马概述
【资料图】
“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。
木马传播
“银狐”木马常见的传播路径有以下三种。
一、 IM传播
通过此类方式进行传播的木马,通常利用QQ、微信等即时通信(IM)软件发送钓鱼文件或网站链接,诱导受害者点击并进行钓鱼传播。而其发送的文件或内容往往会命名为“成绩单”、“转账通知单”等具有诱导性的名称,方便扩散。
此类方式传播的木马的技术特点为:擅长使用白利用、内存loader等技术手段。
二、 钓鱼网站传播
通过此类方式传播的木马,一般会伪装成税务机关的钓鱼网站,使用微信钓鱼进行传播。其在传播过程中常用的名称有:发票、单据、报税、税务软件等。
此类方式传播的木马的技术特点为:擅长使用白利用,木马呈现多阶段的投递方式,并使用某云笔记存储其payload数据。
三、 虚假软件传播
此类木马往往伪装成常用软件,常见的就有:微信、WPS、钉钉等数十款软件,通过在主流搜索引擎上购买流量进行钓鱼传播。近期的数据显示,此传播方式是上述三种常见传播形式中传播量最大的一种。
此类木马的技术特点为:使用广告软件进行捆绑式推广,利用复杂形式的白利用,并呈现多阶段的投递方式。
下面的技术分析,会以前文提到的传播最广泛的第三类木马为例,进行介绍:
银狐家族通过以WPS、MS Office、PDF等安装包的名义进行钓鱼攻击。下载的文件名称常见的有“”、“抖音小店.exe”、“钉钉一键安装.exe”等,且受害者众多。此外,该家族还常使用一些其他方式用于对抗:例如研究人员捕获到的木马样本通常都加了VMP等强壳,并且传播者会根据不同IP或时间段,分地分时地发布针对性样本,进行针对性攻击或对抗安全测试分析。根据后台大数据显示,每天有超过1000+终端用户被该类木马钓鱼攻击。
常见钓鱼页面
一、 伪官网钓鱼页面
二、 伪下载站钓鱼页面
样本分析
木马样本投递方式多样,伪造的软件多达数十款。包括但不限于:WPS、微信、搜狗拼音、钉钉、CAD、PDF、xxx加速器、压缩软件、PPT、美图秀秀、向日葵等各类常用软件。下文以伪装为WPS安装程序的木马为例进行分析。
木马会分批次逐级释放文件,释放过程如下:
当木马检测到存在360tray进程时会,伪造360弹窗,试图误导用户主动退出360相关安全软件:
之后,木马会解压内部数据,并将其释放到%ProgramData%下的随机10个大小写字母目录中,被释放的文件名为8个随机大小写字母。
继而,使用白利用(DLL侧加载)手段,如被分析的木马利用到了“NetSarang Computer, Inc.”签名的升级程序:这是NetSarang公司旗下XSHELL、XMANAGER、XFTP、XLPD等系列工具的更新程序,数字签名正常。如下图所示:
被利用的白程序运行后,会加载同目录下后缀为.dat的同名文件。加载后会解压该文件并解析其中的Lua脚本代码,之后执行用以完成软件更新。而木马便利用这一点,让白程序从其精心构建过的.dat压缩包里解压出编码过的shellcode并执行。其解压密码为:
99B2328D3FDF4E9E98559B4414F7ACB9
被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。这部分代码的修复逻辑及结果如下:
修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。
持续驻留
木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:
远程控制
最终执行的远控木马的部分主要远程控制功能有:
1、 键盘记录
2、 检测判断环境(安全软件、IM软件等)
3、 进入钓鱼QQ(获取QQ密码)
4、 获取浏览器信息
5、 记录用户日常操作
木马还会定时截取屏幕并保存到%ProgramData%\quickScreenShot目录下。
6、 更新C2防止被封
为防止C2服务器地址被封导致后门失效,其后门模块还会从文件中获取最新的C2地址进行更新替换:
多层内存解密加载,360杀箱云检出图:
此外,该远控木马也具有常见的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为。
攻击意图
经过分析人员研判,该团伙千方百计进行免杀传播并向政企设备植入木马,其主要是为了窃取此类用户的隐私数据,进而为进一步的诈骗提供帮助。
攻击者不仅会通过一般的钓鱼方式进行传播,还会利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,政企单位应对此类攻击事件提高警惕并加强相关安全培训,防范该家族木马的攻击。
/n/
Copyright © 2015-2022 南极快报网版权所有 备案号:粤ICP备2022077823号-13 联系邮箱: 317 493 128@qq.com