關(guān)于銀狐

銀狐木馬是近年來國(guó)內(nèi)最為活躍的遠(yuǎn)控釣魚類木馬，該木馬與電詐活動(dòng)緊密相關(guān)，是一類危害較高的木馬家族。通常而言，銀狐木馬主要是針對(duì)企事業(yè)單位管理、財(cái)務(wù)、銷售相關(guān)崗位人員或電商賣家進(jìn)行釣魚攻擊。該家族木馬主要通過偽裝成與工作相關(guān)的文件（如發(fā)票或財(cái)稅文件等）誘騙用戶點(diǎn)擊下載和執(zhí)行，從而實(shí)現(xiàn)對(duì)目標(biāo)用戶計(jì)算機(jī)的遠(yuǎn)程控制。

近期，該木馬團(tuán)伙依然活躍，而與以往不同的則是該團(tuán)伙出現(xiàn)了一類使用.NET特性發(fā)起攻擊的案例。下文中我們將對(duì)此類案例進(jìn)行分析介紹。

攻擊分析

在此類攻擊事件中，攻擊者首先會(huì)發(fā)送帶有釣魚鏈接的PDF文件。

圖1. 釣魚PDF文件內(nèi)容

攻擊者之所以選擇通過PDF文件攜帶釣魚鏈接而非直接發(fā)送釣魚鏈接,與360安全終端產(chǎn)品與通訊軟件的攔截不無關(guān)系。通過各種途徑直接傳遞釣魚鏈接，極易被安全產(chǎn)品事先防御攔截，所以攻擊者才會(huì)選擇通過PDF、Excel等文件中的圖片、文字來包藏釣魚鏈接，以此試圖蒙混過關(guān)。因此，用戶如果見到通過PDF等文檔直接內(nèi)嵌鏈接的情況要格外謹(jǐn)慎，以防是釣魚或其他類型惡意鏈接。

而用戶一旦被誤導(dǎo)后點(diǎn)擊鏈接，就會(huì)直接調(diào)用瀏覽器觸發(fā)下載行為。常見的攻擊案例中，下載到的文件往往是一個(gè)經(jīng)過偽裝的壓縮包，并且通常會(huì)使“解壓文件后閱覽.zip”、“查詢明細(xì).zip”等一類具有迷惑性的名稱。

圖2. 用戶被誤導(dǎo)后下載的釣魚文件?

對(duì)樣本進(jìn)行解壓后，可以看到下面一個(gè)不尋常的組合（除exe文件外，其它文件一般都會(huì)被設(shè)置為隱藏屬性）。

圖3. 解壓后的釣魚文件

可以看到，文件中還包括一個(gè)與exe主程序同名的config文件。而打開這個(gè)config文件可以看到其內(nèi)容如下：

圖4. 配置文件內(nèi)容?

而對(duì)于這個(gè)配置文件的加載，便是我們本次要重點(diǎn)介紹的銀狐木馬所利用了.NET程序的一個(gè)特性。

在.NET應(yīng)用程序的默認(rèn)運(yùn)行狀況下，會(huì)自動(dòng)讀取這個(gè)與應(yīng)用程序可執(zhí)行文件（.exe）同名且?guī)в?config擴(kuò)展名的配置文件。而該配置文件采用XML格式，用于存儲(chǔ)應(yīng)用程序的運(yùn)行參數(shù)以便在不修改代碼的情況下調(diào)整應(yīng)用程序的行為。而當(dāng)前攻擊案例中的銀狐木馬正是利用了這一特性，添加了一條MyAppDomainManager（使用自定義 AppDomain 管理器）的記錄來指向ipc.dll這個(gè)動(dòng)態(tài)鏈接庫(kù)文件。

以下則是常見用戶劫持的DLL文件代碼結(jié)構(gòu)：

圖5. 常見用于劫持的DLL文件代碼結(jié)構(gòu)

在進(jìn)行了這種配置后，主程序便會(huì)在初始化時(shí)自動(dòng)加載文件中指定的ipc.dll文件，并執(zhí)行其InitializeNewDomain(AppDomainSetup)完成初始化。

下面是兩個(gè)劫持DLL的代碼對(duì)比，可以看到其劫持的結(jié)構(gòu)均相同。如果發(fā)現(xiàn)當(dāng)前程序并非以管理員權(quán)限執(zhí)行，便會(huì)嘗試提升至管理員權(quán)限再次啟動(dòng)，成功后再執(zhí)行后續(xù)的惡意代碼。

圖6. 初始化函數(shù)代碼對(duì)比?

完成上述初始化操作后，便進(jìn)入了核心的病毒執(zhí)行代碼。解密病毒主體部分size.pe并執(zhí)行病毒主體功能。

圖7. 進(jìn)入病毒主體功能的代碼?

當(dāng)前分析的案例樣本會(huì)利用注冊(cè)表中的“UserInitMprLogonScript”實(shí)現(xiàn)長(zhǎng)期駐留，該注冊(cè)表位置會(huì)在用戶成功登錄系統(tǒng)時(shí)自動(dòng)運(yùn)行木馬主程序。

圖8. 木馬通過修改注冊(cè)表實(shí)現(xiàn)開機(jī)啟動(dòng)及長(zhǎng)期駐留?

病毒完成引導(dǎo)后，會(huì)啟動(dòng)perfmon.exe進(jìn)程，然后注入到perfmon.exe進(jìn)程里。

圖9. 啟動(dòng)并注入perfmon.exe進(jìn)程

最終的惡意載荷是一款功能強(qiáng)大的遠(yuǎn)控木馬。其具備記錄鍵盤輸入、打開/關(guān)閉屏幕、在瀏覽器中搜索和刪除用戶數(shù)據(jù)、執(zhí)行文件操作等常規(guī)木馬所具有的功能。

圖10. 遠(yuǎn)控木馬功能代碼?

不僅如此，當(dāng)前的銀狐木馬還會(huì)在受害者的電腦中下載IP-guard等其他工具來保護(hù)其木馬主體不被查殺。

圖11. 木馬通過其他工具來保護(hù)木馬主體?

實(shí)現(xiàn)長(zhǎng)期駐留后，攻擊者將監(jiān)控用戶的一舉一動(dòng)，竊取用戶的微信密鑰與聊天記錄文件來獲取用戶全部的聊天記錄。此外，木馬還會(huì)搜索并竊取設(shè)備中疑似是企業(yè)財(cái)稅文件、企業(yè)工資單等企業(yè)財(cái)務(wù)相關(guān)數(shù)據(jù)，最終將這些信息售賣給詐騙團(tuán)伙。

利用這一機(jī)制，木馬作者可以使用任意.NET程序做為木馬的“主程序”，加載其病毒代碼執(zhí)行，以此實(shí)現(xiàn)與免殺相同的效果。不過360安全終端產(chǎn)品已對(duì)此類問題進(jìn)行處理，使用360終端安全產(chǎn)品的用戶無需過分擔(dān)心，360終端安全產(chǎn)品可以正常防御該病毒木馬的攻擊。懷疑中招的電腦，也可以使用360終端安全產(chǎn)品進(jìn)行查殺。

圖12. 360客戶端攔截銀狐木馬