恶意文件名称:
银狐
威胁类型:
远控木马
简单描述:
“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。
事件描述
在深信服深盾终端实验室对银狐黑灰产团伙的监控过程中,猎捕到银狐家族加载器新变种在野攻击事件,本次新变种样本增加的功能是安全软件对抗能力。
技术分析
历史样本分析
历史的银狐样本加载器的主要变化趋势是向正常文件靠拢,在正常代码或文件中混入适量恶意代码,以降低被启发式引擎检测出的可能性,还能增加其误报的可能性。目前已发现的主流手法包括两种。
一类是通过二进制劫持技术将二进制恶意代码插入到正常文件的执行流中,如下图所示,这是其使用的一种滑板代码。
另一类是在正常的MFC项目中插入加载器代码。从目前收集的样本中使用的类名来看,部分MFC项目是从网上下载的项目。
如下图中使用的CCGfxListViewDoc和CMyListView类。
插入的代码也在逐渐增多,早期的加载器样本的执行流程很简单,从网上下载后续阶段载荷并执行。而发现的最新样本已经将一些后续阶段载荷的功能复制到加载器中。
基本执行流
此类混合在MFC项目中的样本主要功能是下载并执行后续阶段载荷,执行流程基本固定。首先向C2服务器发送一段字符表示落地成功,再下载后续载荷,分配可执行内存执行载荷。
部分样本会通过异常机制调转到下载器代码中。
猎捕到新变种样本
此次发现的新样本增加了检测并关闭安全软件的功能。在下载后续阶段载荷前,会通过进程名检测系统中存在的安全软件,并尝试通过调整进程令牌的权限来关闭安全软件。
通过LookupPrivilegeValueA和AdjustTokenPrivileges函数开启下列特权。
通过SetTokenInformation调整进程的完整性级别,再尝试通过PostThreadMessageA发送Quit消息和TerminateProcess函数关闭安全软件进程。该样本会检测下列5个进程的存在情况。
IOC
URL
43.136.235.18
HASH
717F9C2EB6FFD9244F747297B1F904B7
24182a6c8efcbd16a829bec483ad5f84
解决方案
处置建议
1. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
2. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
3. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。
深信服解决方案
【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取得更好防护效果。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSS安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。