魔天记忘语小说,小说阅读网,有声读物

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心 | 【火絨安全周報】銀狐釣魚再升級：白文件腳本化實現(xiàn)GO語言后門持久駐留

近期，火絨威脅情報中心監(jiān)測到一批相對更為活躍的“銀狐”系列變種木馬。火絨安全工程師第一時間獲取樣本并進行分析。分析發(fā)現(xiàn)，該樣本通過阿里云存儲桶下發(fā)惡意文件，采用AppDomainManager進行白利用，并借助Python執(zhí)行惡意腳本下發(fā)Go語言后門，最終實現(xiàn)對電腦的后門權(quán)限長期維持控制。目前，火絨安全產(chǎn)品能夠有效攔截和查殺上述病毒。火絨6.0的內(nèi)存防護功能具備精準(zhǔn)處理此類內(nèi)存加載病毒的能力，能夠及時識別和阻止惡意代碼在內(nèi)存中的執(zhí)行，從而保護用戶系統(tǒng)的安全。

查殺圖

一

銀狐再升級

歷經(jīng)兩年的持續(xù)演進，銀狐組織（SilverFox）采用的后門程序已從早期的Gh0st、Win0s等傳統(tǒng)RAT，發(fā)展成了多語言混合版本。

本次捕獲的樣本采用了Go語言編寫，具備信息竊取、命令執(zhí)行等基礎(chǔ)惡意功能。值得注意的是，銀狐組織的對抗技術(shù)也進行了顯著升級：對此次樣本的進程鏈進行分析發(fā)現(xiàn)，攻擊者已經(jīng)摒棄了早期依賴內(nèi)存加載PE文件的方式，而是轉(zhuǎn)用一種"白文件+腳本"的新型利用鏈——即利用合法XML文件配合Python腳本實施攻擊。這種技術(shù)演進使得整個攻擊過程中無需加載任何惡意PE文件(無任何黑DLL，全文本攻擊)，能夠有效規(guī)避基于ATT&CK矩陣的常規(guī)檢測手段，最終成功實現(xiàn)Go語言后門的持久化駐留。

而在溯源過程中發(fā)現(xiàn)，銀狐組織已經(jīng)能夠通過單臺服務(wù)器實現(xiàn)對上千臺終端設(shè)備的控制。這些受控設(shè)備主要集中在財務(wù)、國企、政府等部門。銀狐組織利用這些設(shè)備，通過企業(yè)微信、釘釘?shù)燃磿r通訊平臺進一步下發(fā)信息，實施詐騙。

銀狐

二

樣本分析

樣本執(zhí)行流程圖如下：

樣本流程圖

該樣本偽裝成谷歌瀏覽器升級程序，并構(gòu)造過期簽名實施釣魚攻擊。

偽造程序

其采用火山軟件開發(fā)平臺(易語言x64版本)進行編寫，惡意代碼被編譯在加密庫函數(shù)中。

火山遠控

該惡意代碼會判斷進程名稱是否為ngjklr1333.exe，如果不匹配則不執(zhí)行惡意代碼。

名稱判斷

之后，樣本生成目錄C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因為KeePass.exe是樣本后期采用的白利用程序之一，所以樣本會先判斷環(huán)境中是否已經(jīng)存在KeePass進程，若存在的話，則通過命令行結(jié)束taskkill /IM KeePass.exe /F進程。

隨后，通過阿里云存儲桶獲取Python安裝包，并構(gòu)造解壓命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。

文件下載

接著，使用Microsoft.XMLHTTP ActiveX控件發(fā)起HTTP GET請求，其URL為https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/python312.zip。

Microsoft.XMLHTTP

之后，再次從阿里云存儲桶服務(wù)器下載惡意利用文件https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/k.zip，并解壓文件tar -xf Kp//k.zip -C [user_directory]/Kp。接著，創(chuàng)建進程打開KeePass.exe。

下載惡意利用文件

KeePass

KeePass.exe是一款開源的密碼管理器，在該樣本中被用作白利用程序。其通過附帶的KeePass.exe.config配置文件實現(xiàn)AppDomainManager注入。

在.NET Framework中，exe.config文件通常被稱為“配置文件”，該文件包含控制應(yīng)用程序行為的信息。部分系統(tǒng)程序集（如System.Xml，System.Data，mscorlib等）的版本號會隨著.NET Framework的升級而更新。

該樣本解壓出的KeePass.exe.config配置文件利用

KeePass.exe.config

KeePass.config.xml配置文件定義了版本號2.57.1.16889，并具備控制KeePass啟動行為、語言設(shè)置、插件兼容、界面布局、觸發(fā)器自動操作等行為。其中的觸發(fā)器（Trigger）設(shè)置為自動執(zhí)行，該觸發(fā)器觸發(fā)時，會從遠程地址下載惡意代碼并解密執(zhí)行。

KeePass.config.xml

惡意代碼會利用第一階段下載的Python文件，通過Python代碼實現(xiàn)異或與base64解密，進而自動執(zhí)行解密后的惡意代碼。

Python代碼

解密后的代碼是一個后門Python腳本，它會下載偽裝成圖片的遠程惡意可執(zhí)行文件，并在系統(tǒng)中創(chuàng)建多個具有計劃觸發(fā)功能和高權(quán)限（SYSTEM/Administrators）的計劃任務(wù)，以實現(xiàn)后門持久化。它還會利用注冊表和系統(tǒng)任務(wù)文件清除機制來隱藏計劃任務(wù)：