?“銀狐”木馬概述

“銀狐”木馬是一類針對企事業(yè)單位管理人員、財(cái)務(wù)人員、銷售人員及電商賣家進(jìn)行釣魚攻擊的木馬。攻擊團(tuán)伙通過投遞遠(yuǎn)控木馬，在獲得受害者的計(jì)算機(jī)控制權(quán)限后會在其系統(tǒng)內(nèi)長期駐留，并監(jiān)控用戶日常操作。待時機(jī)成熟時，攻擊者會利用受感染設(shè)備中已登錄的聊天工具軟件（如微信等）發(fā)起詐騙。此外，該家族也經(jīng)常使用高仿微信號進(jìn)行詐騙。

木馬傳播

“銀狐”木馬常見的傳播路徑有以下三種。

一、 IM傳播

通過此類方式進(jìn)行傳播的木馬，通常利用QQ、微信等即時通信（IM）軟件發(fā)送釣魚文件或網(wǎng)站鏈接，誘導(dǎo)受害者點(diǎn)擊并進(jìn)行釣魚傳播。而其發(fā)送的文件或內(nèi)容往往會命名為“成績單”、“轉(zhuǎn)賬通知單”等具有誘導(dǎo)性的名稱，方便擴(kuò)散。

此類方式傳播的木馬的技術(shù)特點(diǎn)為：擅長使用白利用、內(nèi)存loader等技術(shù)手段。

二、 釣魚網(wǎng)站傳播

通過此類方式傳播的木馬，一般會偽裝成稅務(wù)機(jī)關(guān)的釣魚網(wǎng)站，使用微信釣魚進(jìn)行傳播。其在傳播過程中常用的名稱有：發(fā)票、單據(jù)、報(bào)稅、稅務(wù)軟件等。

此類方式傳播的木馬的技術(shù)特點(diǎn)為：擅長使用白利用，木馬呈現(xiàn)多階段的投遞方式，并使用某云筆記存儲其payload數(shù)據(jù)。

三、 虛假軟件傳播

此類木馬往往偽裝成常用軟件，常見的就有：微信、WPS、釘釘?shù)葦?shù)十款軟件，通過在主流搜索引擎上購買流量進(jìn)行釣魚傳播。近期的數(shù)據(jù)顯示，此傳播方式是上述三種常見傳播形式中傳播量最大的一種。

此類木馬的技術(shù)特點(diǎn)為：使用廣告軟件進(jìn)行捆綁式推廣，利用復(fù)雜形式的白利用，并呈現(xiàn)多階段的投遞方式。?

技術(shù)詳解

下面的技術(shù)分析，會以前文提到的傳播最廣泛的第三類木馬為例，進(jìn)行介紹：

銀狐家族通過以WPS、MS Office、PDF等安裝包的名義進(jìn)行釣魚攻擊。下載的文件名稱常見的有“wpsSetup.exe”、“抖音小店.exe”、“釘釘一鍵安裝.exe”等，且受害者眾多。此外，該家族還常使用一些其他方式用于對抗：例如研究人員捕獲到的木馬樣本通常都加了VMP等強(qiáng)殼，并且傳播者會根據(jù)不同IP或時間段，分地分時地發(fā)布針對性樣本，進(jìn)行針對性攻擊或?qū)拱踩珳y試分析。根據(jù)后臺大數(shù)據(jù)顯示，每天有超過1000+終端用戶被該類木馬釣魚攻擊。

常見釣魚頁面

一、 偽官網(wǎng)釣魚頁面

二、 偽下載站釣魚頁面

?

樣本分析

木馬樣本投遞方式多樣，偽造的軟件多達(dá)數(shù)十款。包括但不限于：WPS、微信、搜狗拼音、釘釘、CAD、PDF、xxx加速器、壓縮軟件、PPT、美圖秀秀、向日葵等各類常用軟件。下文以偽裝為WPS安裝程序的木馬為例進(jìn)行分析。

木馬會分批次逐級釋放文件，釋放過程如下：

當(dāng)木馬檢測到存在360tray進(jìn)程時會，偽造360彈窗，試圖誤導(dǎo)用戶主動退出360相關(guān)安全軟件：

之后，木馬會解壓內(nèi)部數(shù)據(jù)，并將其釋放到%ProgramData%下的隨機(jī)10個大小寫字母目錄中，被釋放的文件名為8個隨機(jī)大小寫字母。

繼而，使用白利用（DLL側(cè)加載）手段，如被分析的木馬利用到了“NetSarang Computer, Inc.”簽名的升級程序：這是NetSarang公司旗下XSHELL、XMANAGER、XFTP、XLPD等系列工具的更新程序，數(shù)字簽名正常。如下圖所示：

被利用的白程序運(yùn)行后，會加載同目錄下后綴為.dat的同名文件。加載后會解壓該文件并解析其中的Lua腳本代碼，之后執(zhí)行用以完成軟件更新。而木馬便利用這一點(diǎn)，讓白程序從其精心構(gòu)建過的.dat壓縮包里解壓出編碼過的shellcode并執(zhí)行。其解壓密碼為：

99B2328D3FDF4E9E98559B4414F7ACB9

被解壓出的shellcode啟動后會讀取并修復(fù)當(dāng)前目錄下的.xml文件的前4個字節(jié)，而修復(fù)后的內(nèi)容實(shí)際上是一個PE結(jié)構(gòu)的可執(zhí)行程序。這部分代碼的修復(fù)邏輯及結(jié)果如下：

修復(fù)后的PE可執(zhí)行程序運(yùn)行后，會向系統(tǒng)中添加計(jì)劃任務(wù)用以定期啟動自動執(zhí)行。同時，程序還會解密同目錄下的.png及.jpg文件，這次解壓出的程序?yàn)檎嬲倪h(yuǎn)控程序。

持續(xù)駐留

木馬會添加一個偽裝為Onedrive、Microsoft Edge等名稱的計(jì)劃任務(wù)：

遠(yuǎn)程控制

最終執(zhí)行的遠(yuǎn)控木馬的部分主要遠(yuǎn)程控制功能有：

1、 鍵盤記錄

2、 檢測判斷環(huán)境（安全軟件、IM軟件等）

3、 進(jìn)入釣魚QQ（獲取QQ密碼）

4、 獲取瀏覽器信息

5、 記錄用戶日常操作

木馬還會定時截取屏幕并保存到%ProgramData%\quickScreenShot目錄下。

6、 更新C2防止被封

為防止C2服務(wù)器地址被封導(dǎo)致后門失效，其后門模塊還會從ip.txt文件中獲取最新的C2地址進(jìn)行更新替換：

多層內(nèi)存解密加載，360殺箱云檢出圖：

此外，該遠(yuǎn)控木馬也具有常見的遠(yuǎn)控功能，如：文件傳輸、截圖、鍵盤記錄、收集用戶系統(tǒng)信息、遍歷是否存在網(wǎng)絡(luò)分析工具等行為。?

攻擊意圖

經(jīng)過分析人員研判，該團(tuán)伙千方百計(jì)進(jìn)行免殺傳播并向政企設(shè)備植入木馬，其主要是為了竊取此類用戶的隱私數(shù)據(jù)，進(jìn)而為進(jìn)一步的詐騙提供幫助。

攻擊者不僅會通過一般的釣魚方式進(jìn)行傳播，還會利用受害者的即時通信軟件來發(fā)送具有針對性的釣魚、欺詐類信息，政企單位應(yīng)對此類攻擊事件提高警惕并加強(qiáng)相關(guān)安全培訓(xùn)，防范該家族木馬的攻擊。