近期,火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现,该样本通过阿里云存储桶下发恶意文件,采用AppDomainManager进行白利用,并借助Python执行恶意脚本下发Go语言后门,最终实现对电脑的后门权限长期维持控制。目前,火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力,能够及时识别和阻止恶意代码在内存中的执行,从而保护用户系统的安全。[font=&]
Image-0.png (34.96 KB, 下载次数: 0)下载附件6 分钟前 上传[font=&]查杀图
[font=&]
[font=&]一、银狐再升级
[font=&]历经两年的持续演进,银狐组织(SilverFox)采用的后门程序已从早期的Gh0st、Win0s等传统RAT,发展成了多语言混合版本。
[font=&]本次捕获的样本采用了Go语言编写,具备信息窃取、命令执行等基础恶意功能。值得注意的是,银狐组织的对抗技术也进行了显著升级:对此次样本的进程链进行分析发现,攻击者已经摒弃了早期依赖内存加载PE文件的方式,而是转用一种"白文件+脚本"的新型利用链——即利用合法XML文件配合Python脚本实施攻击。这种技术演进使得整个攻击过程中无需加载任何恶意PE文件(无任何黑DLL,全文本攻击),能够有效规避基于ATT&CK矩阵的常规检测手段,最终成功实现Go语言后门的持久化驻留。
[font=&]而在溯源过程中发现,银狐组织已经能够通过单台服务器实现对上千台终端设备的控制。这些受控设备主要集中在财务、国企、政府等部门。银狐组织利用这些设备,通过企业微信、钉钉等即时通讯平台进一步下发信息,实施诈骗。
[font=&]
[font=&]银狐
[font=&]
[font=&]二、样本分析
[font=&]样本执行流程图如下:
[font=&]
[font=&]样本流程图
[font=&]
[font=&]该样本伪装成谷歌浏览器升级程序,并构造过期签名实施钓鱼攻击。
[font=&]
[font=&]伪造程序
[font=&]
[font=&]其采用火山软件开发平台(易语言x64版本)进行编写,恶意代码被编译在加密库函数中。
[font=&]
[font=&]火山远控
[font=&]
[font=&]该恶意代码会判断进程名称是否为ngjklr1333.exe,如果不匹配则不执行恶意代码。
[font=&]
[font=&]名称判断
[font=&]
[font=&]之后,样本生成目录C:\ProgramData\Microsoft\Windows\NT\Crypto\Python\Python3\Python3.12.4。因为KeePass.exe是样本后期采用的白利用程序之一,所以样本会先判断环境中是否已经存在KeePass进程,若存在的话,则通过命令行结束taskkill /IM KeePass.exe /F进程。
[font=&]随后,通过阿里云存储桶获取Python安装包,并构造解压命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。
[font=&]
[font=&]文件下载
[font=&]
[font=&]
接着,使用Microsoft.XMLHTTP ActiveX控件发起HTTP GET请求,其URL为https://images-room.oss-accelera ... 5Z/kp/python312.zip。[font=&]
[font=&]Microsoft.XMLHTTP
[font=&]
[font=&]
[font=&]下载恶意利用文件
[font=&]
[font=&]KeePass
[font=&]
[font=&]KeePass.exe是一款开源的密码管理器,在该样本中被用作白利用程序。其通过附带的KeePass.exe.config配置文件实现AppDomainManager注入。
[font=&]在.NET Framework中,exe.config文件通常被称为“配置文件”,该文件包含控制应用程序行为的信息。部分系统程序集(如System.Xml,System.Data,mscorlib等)的版本号会随着.NET Framework的升级而更新。
[font=&]该样本解压出的KeePass.exe.config配置文件利用<dependentAssembly>元素实现版本从2.0.9.0-2.57.1.0重定向至2.57.1.16889,从而确保其恶意配置xml文件能够顺利加载。
[font=&]
[font=&]KeePass.exe.config
[font=&]
[font=&]KeePass.config.xml配置文件定义了版本号2.57.1.16889,并具备控制KeePass启动行为、语言设置、插件兼容、界面布局、触发器自动操作等行为。其中的触发器(Trigger)设置为自动执行,该触发器触发时,会从远程地址下载恶意代码并解密执行。
[font=&]
[font=&]KeePass.config.xml
[font=&]
[font=&]恶意代码会利用第一阶段下载的Python文件,通过Python代码实现异或与base64解密,进而自动执行解密后的恶意代码。
[font=&]
[font=&]Python代码
[font=&]
[font=&]解密后的代码是一个后门Python脚本,它会下载伪装成图片的远程恶意可执行文件,并在系统中创建多个具有计划触发功能和高权限(SYSTEM/Administrators)的计划任务,以实现后门持久化。它还会利用注册表和系统任务文件清除机制来隐藏计划任务:
task1 下载Go后门
task2 创建计划任务
task3 计划任务结束KeePass
hidden_task 修改注册表隐藏计划任务
[font=&]
[font=&]下载后门
[font=&]
[font=&]创建计划任务
[font=&]
[font=&]计划任务结束KeePass
[font=&]
[font=&]隐藏计划任务
[font=&]
[font=&]tmux.jpg是一个Go后门木马文件,通过WebSocket进行通信。该木马首先会收集电脑信息和杀软环境信息。
[font=&]
[font=&]获取电脑基本信息
[font=&]
[font=&]之后,通过WebSocket与C2服务器进行通信(C2服务器地址为fourier.ali-cloud.top:8055)。
[font=&]
[font=&]C2配置
[font=&]
[font=&]分析发现,该后门具有以下功能。
[font=&]
[font=&]后门功能
[font=&]
[font=&]0x3 CMD/Shell命令。
[font=&]
[font=&]CMD/Shell命令
[font=&]
[font=&]0x4 屏幕截图、获取浏览器数据。
[font=&]
[font=&]屏幕截图、获取浏览器数据
[font=&]
[font=&]0x6 代理功能。
[font=&]
[font=&]代理功能
[font=&]
[font=&]0x7 获取Telegram密钥。
[font=&]
[font=&]备份Telegram
[font=&]
[font=&]0x8 获取getxshell密钥。
[font=&]
[font=&]获取getxshell 密钥
[font=&]
[font=&]0xB 文件搜索。
[font=&]
[font=&]文件搜索
[font=&]
[font=&]0xC 上传文件。
[font=&]
[font=&]上传文件
[font=&]
[font=&]0xD 删除文件。
[font=&]
[font=&]删除文件
[font=&]
[font=&]0xE 下载文件。
[font=&]
[font=&]下载文件
[font=&]
[font=&]三、附录
[font=&]C&C:
[font=&]
[font=&]
[font=&]HASH:
[font=&]
