恶意文件名称:
银狐
威胁类型:
后门木马
简单描述:
“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。
恶意文件描述
深信服深盾终端实验室在近期的运营工作中,监控到了一个新的银狐家族变种样本通过微信进行传播。
该类样本主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击,传播的路径有三种,社交媒体传播,网站传播,伪装虚假软件传播。
恶意文件分析
母体文件 最新1786.exe
第一阶段,从阿里云函数上下载恶意shellcode,并保存相应的注册表项中。云函数上存在多种shellcode,命名格式为hrsgdsb{文件名}wknzms.jpg。在该程序中共出现了113种shellcode类型。
与之前发现的样本不同的是,新样本不会直接将shellcode释放到文件中去,而是保存在特定的注册表项中。
在该版本中,shellcode会被保存到HKEY_CURRENT_USERConsole表项的tt1和m1键值中。
老版本则会直接保存到文件中。
第二阶段,修改浏览器安全策略,并下载后续恶意组件。
修改浏览器安全策略,将zones的值设置为1201,此时浏览器触发脚本下载文件时将不会验证安全性,此功能主要用于隐藏在chm文件中恶意javascript脚本下载的文件。
随后开始下载后续组件,并隐藏病毒路径C:UsersPublicDocuments
第三阶段,待相关组件下载完成后,开始执行相关组件。
首先通过CLSID定位并运行explore进程,再通过模拟键盘和鼠标操作,通过运行窗口运行恶意的微软帮助文档,即1.chm。这一系列操作是在很短的时间内完成的,窗口弹出的行为很难被发现。
在等待0x3e8毫秒后,关闭微软帮助文档进程,即hh.exe。执行1.exe,运行保存在注册表项中的shellcode。
通过CoCreateGuid函数创建一个唯一GUID并保存在HKEY_CURRENT_USERConsole表项的Console_b键值中,标志着病毒初次安装。
最后伪装程序执行失败。然后结束当前进程。
伪装成文件损坏的错误窗口
1.exe主要负责定时运行保存在注册表中的shellcode代码,该shellcode代码会从C2上获取并执行后续代码。
通过SetTimer设置定时器,定时运行shellcode代码。
shellcode会尝试连接C2,并获取后续代码。C2地址为jk003.xyz。
1.chm内含经过jsjiamiv6混淆过后的恶意js代码,主要功能是下载在母体文件中下载失败的文件。
UnityPlayer.dll和ttd.exe是白利用相关的组件,在目前的版本中并未使用。ttd.exe是具有合法签名的程序,在执行时会加载UnityPlayer.dll。UnityPlayer.dll是恶意dll,在其导出函数UnityMain中,会加载保存在注册表中的shellcode,并通过EnumWindowsW回调函数中执行shellcode。
关联分析
在后续关联分析时发现了另一个版本的病毒,该版本伪装成抖音聊天软件传播。
它将主要的恶意行为放到了窗口回调函数中执行。
伪装成Shellcode的图片文件以有道云笔记共享文件的方式传播,该账号用户名为v9ptvdk6。
该账号能关联到的早的样本名为wps安装@3164.exe,经过vmprotect壳处理。符号为D:rustxinjzqtargetreleasedepsai360.pdb。
目前其使用共享链接已失效。https://note.youdao.com/s/PYaRsc5f
IOCs
HASH
530e915833ce9c5379541cc623e4da01
2a2fbd149b7597e77f68d40420cadf2f
fbb2bf38067cca4ba0f7a2dc3edfcdc8
0e86ffc20a4b132fe80775621cae3ab5
b2e3bdfc5558bd268f68b2701f4c633b
e821d87fcd034186ff826cee95975504
3f3b0626eb8e216da69b32df383fc8b6
be08191d7e8244cea1a039d8598e99a8
DOMAIN
jk003.xyz
116.62.103.174
URL
https://titi2-3.oss-cn-hangzhou.aliyuncs.com/hrsgdsb4647wknzms.jpg
https://titi2-3.oss-cn-hangzhou.aliyuncs.com/hrsgdsb4854wknzms.jpg
https://titi2-3.oss-cn-hangzhou.aliyuncs.com/hrsgdsb4855wknzms.jpg
https://titi2-3.oss-cn-hangzhou.aliyuncs.com/hrsgdsb5129wknzms.jpg
https://note.youdao.com/s/XpmZnBgT
https://note.youdao.com/s/QqBo1ZF5
https://note.youdao.com/s/Cg3vlJ9C
https://note.youdao.com/s/Rmfc79Iq
https://note.youdao.com/s/CH2FaMRE
https://note.youdao.com/s/8j8jOKrY解决方案
处置建议
1. 为本地和域账户设置强密码策略,定期更改账号密码。
2. 及时更新操作系统和软件,使用杀毒软件定期查杀。
3. 打开未知文件前使用终端安全软件进行查杀。
转载来源:https://mp.weixin.qq.com/s/L1mdQ3NU3BI6BfzX9pJduw
图片来源网络侵权可联系删除
