银狐木马技术分析



赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-347

报告来源:360CERT

报告作者:360CERT

更新日期:2023-08-16


1
 “银狐”木马概述



“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。


2
 木马传播



“银狐”木马常见的传播路径有以下三种。

1. IM传播

通过此类方式进行传播的木马,通常利用QQ、微信等即时通信(IM)软件发送钓鱼文件或网站链接,诱导受害者点击并进行钓鱼传播。而其发送的文件或内容往往会命名为“成绩单”、“转账通知单”等具有诱导性的名称,方便扩散。

此类方式传播的木马的技术特点为:擅长使用白利用、内存loader等技术手段。

2. 钓鱼网站传播

通过此类方式传播的木马,一般会伪装成税务机关的钓鱼网站,使用微信钓鱼进行传播。其在传播过程中常用的名称有:发票、单据、报税、税务软件等。

此类方式传播的木马的技术特点为:擅长使用白利用,木马呈现多阶段的投递方式,并使用某云笔记存储其payload数据。

3. 虚假软件传播

此类木马往往伪装成常用软件,常见的就有:微信、WPS、钉钉等数十款软件,通过在主流搜索引擎上购买流量进行钓鱼传播。近期的数 据显示,此传播方式是上述三种常见传播形式中传播量最大的一种。

此类木马的技术特点为:使用广告软件进行捆绑式推广,利用复杂形式的白利用,并呈现多阶段的投递方式。


3
 技术详解



下面的技术分析,会以前文提到的传播最广泛的第三类木马为例,进行介绍:

银狐家族通过以WPS、MS Office、PDF等安装包的名义进行钓鱼攻击。下载的文件名称常见的有“wpsSetup.exe”、“抖音小店.exe”、 “钉钉一键安装.exe”等,且受害者众多。此外,该家族还常使用一些其他方式用于对抗:例如研究人员捕获到的木马样本通常都加了VMP等强壳,并且传播者会根据不同IP或时间段,分地分时地发布针对性样本,进行针对性攻击或对抗安全测试分析。根据后台大数据显示 ,每天有超过1000+终端用户被该类木马钓鱼攻击。

常见钓鱼页面

1. 伪官网钓鱼页面

2. 伪下载站钓鱼页面


4
 样本分析



木马样本投递方式多样,伪造的软件多达数十款。包括但不限于:WPS、微信、搜狗拼音、钉钉、CAD、PDF、xxx加速器、压缩软件、PPT 、美图秀秀、向日葵等各类常用软件。下文以伪装为WPS安装程序的木马为例进行分析。

木马会分批次逐级释放文件,释放过程如下:

当木马检测到存在360tray进程时会,伪造360弹窗,试图误导用户主动退出360相关安全软件:

之后,木马会解压内部数据,并将其释放到%ProgramData%下的随机10个大小写字母目录中,被释放的文件名为8个随机大小写字母。

继而,使用白利用(DLL侧加载)手段,如被分析的木马利用到了“NetSarang Computer, Inc.”签名的升级程序:这是NetSarang公司旗下XSHELL、XMANAGER、XFTP、XLPD等系列工具的更新程序,数字签名正常。如下图所示:

被利用的白程序运行后,会加载同目录下后缀为.dat的同名文件。加载后会解压该文件并解析其中的Lua脚本代码,之后执行用以完成软 件更新。而木马便利用这一点,让白程序从其精心构建过的.dat压缩包里解压出编码过的shellcode并执行。其解压密码为:

99B2328D3FDF4E9E98559B4414F7ACB9

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。这部分代码的修复逻辑及结果如下:

修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留

木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:

远程控制

最终执行的远控木马的部分主要远程控制功能有:

1. 键盘记录

2. 检测判断环境(安全软件、IM软件等)

3. 进入钓鱼QQ(获取QQ密码)

4. 获取浏览器信息

5. 记录用户日常操作

木马还会定时截取屏幕并保存到%ProgramData%\quickScreenShot目录下。

6. 更新C2防止被封

为防止C2服务器地址被封导致后门失效,其后门模块还会从ip.txt文件中获取最新的C2地址进行更新替换:

多层内存解密加载,360杀箱云检出图:

此外,该远控木马也具有常见的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为。


5
 攻击意图



经过分析人员研判,该团伙千方百计进行免杀传播并向政企设备植入木马,其主要是为了窃取此类用户的隐私数据,进而为进一步的诈骗提供帮助。

攻击者不仅会通过一般的钓鱼方式进行传播,还会利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,政企单位应对此类攻击事件提高警惕并加强相关安全培训,防范该家族木马的攻击。


6
 时间线



2023年08月16日 360高级威胁研究分析中心发布通告


7
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐