物竞天择,进化版银狐全链路攻击三部曲(上篇)
2024-9-29 10:15:22 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

一、背景
“银狐”家族自2023年被发现以来,由于其强大的繁殖和进化能力,已成为网络安全界关注的焦点。此黑灰产组织攻击目标是企业和机构内的管理、财务、销售及电商人员,通过精心设计和投递远控木马实施钓鱼攻击。
诱饵样本成功感染受害者计算机后,通过自我复制、隐藏和持久化技术驻留感染设备,长期监控并窃取敏感信息。在不断的攻防对抗中,技术手段不断升级,增加了检测和防范的复杂度,给安全厂商和企业带来新的挑战。据奇安信病毒响应中心监测,这些攻击不仅限于特定地域或行业,其目标范围在不断漫延。
二、事件概述
近日,在奇安信病毒响应中心日常运营过程中发现一类具有强对抗手段的银狐家族样本,它们通过SEO引擎进行诱饵投递。在病毒样本的释放阶段通过文件系统和隐藏属性进行隐匿,并添加WindowsDefener排除项;运行前期进行多种手段的虚拟机和调试环境检测;运行中通过持续的窗口进程监控和驱动进行检测,并采取结束安全软件进程和重启系统等手段进行反制。
此次攻击活动从多个角度观察都具有比较明显的模块化特征,结合其不断升级的安全对抗手段和获取控制权后的多样化攻击,形成了一条全链路的攻击。持续的对抗中,恶意软件好比是在网络世界的丛林中不断进化的猛兽,在这场看不到硝烟的战场中与安全守护者进行博弈。
三、攻击方式
此次攻击主要通过SEO引擎进行诱饵投递,后攻击阶段则通过远控后门下发新的木马样本。
四、攻击载荷
在整个攻击链中,有很多的攻击载荷,部分进行了序列化,也有一些是解密后直接内存加载执行,主要攻击载荷如下表:

文件名

MD5

描述

Setup.exe

927EDC20C81AD01E3A7D15A96E3F95F1

诱饵程序

hccutils.dll

60BC01B8A2F539349A2C5FFC59BA2273

恶意dll拓展

1.gif

858D81F1AF6FAE039C11986522E71E66

序列化加密伪装文件

2.jpg

DC628991E7031A06C74CD035D9D90389

序列化加密伪装文件

TTruespanl.sys

36F5389B52F0EA39EC66AFF13129B655

Truesight驱动文件

SbieDll.dll

699D7CFAC5A0E2B72788F24828E9734E

恶意dll拓展

log.src

CA4566AD0CB4243394179057B7221164

序列化加密文件

utils.vcxproj

F19813E7177B47057A11859636DC32EA

序列化加密文件

五、样本分析
奇安信病毒响应中心在此次攻击活动的分析中,展现了非凡的能力,在全链路攻击的各个阶段都能进行捕获。结合此次银狐的全链路攻击活动,我们将其分为攻击三部曲:安全对抗阶段、远控部署阶段和后攻击阶段。此篇文章针对攻击过程的前两个阶段进行分享,攻击流程大致如下。
两个阶段采用了不同的云存储库,用于负载的文件伪装成多媒体文件,但正常的文件如果分辨率为75x55,位深度24,采用无压缩文件格式的情况下文件大小也才是12375字节,这明显小于下载文件大小,而且各个伪装的负载中采用同一原图进行了隐写。由此网络流量分析可见一斑。
(一)安全对抗阶段
诱饵程序感染受害者设备之后,首先会自解密文件末尾添加的一段shellcode。
shellcode会对NtTraceEvent、 AmsiScanBuffer等相关模块方法进行patch以绕过安全检测。
然后,通过内存操作的时间检测、系统信息检测、RDTSC指令时间检测、GetTickCount64执行时间检测、和互斥体检测等技术进行运行环境检测和反调试,所述检测无法通过时则直接退出进程。
所有检测通过后,在进入核心逻辑之前还会检测部分的安全软件进程,并且在后续运行过程中还会持续进行更多的安全软件进程和窗体检测。
确认感染设备无安全软件进程运行后,为了后续释放文件的隐匿,会添加Windows Defener安全扫描排除项。
此后,正式进入安全对抗阶段的核心方法中,首先会从云存储服务器下载一个链接配置表存储在栈中,下载URL使用凯撒加密硬编码在源码中。
解密链接配置文件后依次下载此阶段所需负载文件,同时还会修改序列化文件属性进行隐藏。
随后下载并序列化驱动文件“C:\\Users\\TTruespanl.sys“。
检查前面序列化的文件是否存在,不存在则退出进程,正常则下载持久化组件,负载解密加载后调用”RegisterTask”添加计划任务。
添加计划任务的方式是使用RPC命名管道”ncacn_np:[\pipe\atsvc]”,通过xml文件配置,使用"NdrClientCall3" 调用添加计划任务。
XML配置文件中可以看出其添加了多个触发器,计划任务会在用户登录时、任务注册时和每分钟触发执行。
最后,再次检测安全软件进程,如果检测到,则先使用cmd命令重启系统,若无法重启,则利用SeShutdownPrivilege特权强制重启系统。
创建的计划任务启动后,启动”IGFXTRAY.EXE”白利用程序加载“hccutils.dll”模块。首先会查找解密“1.gif”中的shellcode,解密后会覆盖当前主进程代码执行。
下一步会解密"2.jpg"文件为dll,其主要功能是通过多种手段结束安全软件进程和下载远控组件。首先其同样会对安全软件进程进行检测。
随后会添加注册表,加载TrueSight驱动,被加载后,驱动会检测安全软件进程,发送控制码结束指定的pid进程。
该dll模块的另一功能则会通过云盘下载远控相关组件,并以相同的方式进行序列化加载,详细的过程不再赘述,下载示例如下。
(二)远控部署阶段
到达远控部署阶段,又是一组白利用,白程序”SandboxieBITS.exe”加载“SbieDll.dll”模块。首先会解密“log.src”文件,最终会调用导出方法“CLRCreateInstance”初始化实例。
解密的模块中同样具有很多的安全软件对抗功能,如注册表禁用UAC、添加释放目标目录到Windows Defender排除目录和安全进程窗体检测等。
最后会解密同目录下的“utils.vcxproj”文件,与此前银狐家族版本相同,也采用了gh0st的变种作为远控后门,关于gh0st的相关功能分析比较多,这里不再赘述。gh0st 的C&C存储载“utils.vcxproj”文件中,ip为"47.238.149.216 ",域名为"qlcuwr.net "。
六、溯源关联
使用天擎病毒查杀对诱饵程序进行扫描,识别为银狐家族木马。
在木马运行过程中,天擎主防识别到攻击活动释放文件为银狐木马。

天擎EDR控制台对样本行为的关键告警信息。

天擎EDR可以将关键的告警通过关联,形成完整的威胁事件,展示完整的攻击链。
七、总结
银狐家族木马的出现引发了网络安全领域的深切关注,因其严重性远远超出了传统的网络威胁。这种恶意软件不仅能够迅速传播和潜伏在系统中,还具备高度隐蔽性和复杂的功能。该家族木马不仅仅使用单一的技术手段,它常与其他先进的攻击技术如社会工程学、网络钓鱼等结合使用,使其攻击更具破坏性和隐秘性。
银狐家族木马主要目的是窃取关键的个人信息、财务数据及其他敏感信息,这些信息随后可能被用于非法获利活动,如网络诈骗、身份盗窃或进行其他形式的欺诈和非法交易。其对个人和组织的影响可以是灾难性的,不仅造成财产损失,还可能导致严重的隐私泄露问题,甚至危及个人安全。
由于银狐家族木马的高度隐蔽性和复杂性,检测和防范它的能力对于保护个人和企业至关重要。增强网络安全意识、实施有效的信息安全策略以及定期更新防护措施,都是减少此类威胁影响的关键步骤。
八、防护建议
奇安信病毒响应中心温馨提醒用户,提高安全意识,谨防钓鱼攻击,切勿打开社交媒体分享和邮件接收的来历不明的链接,仔细辨别发件人身份,不随意下载和点击执行未知来源的附件,不以猎奇心理点击运行未知文件,不安装非正规途径来源的应用程序,如需使用相关软件,请到官方网站和正规应用商店下载。为了更好的防护自身免受感染侵害,可选择可靠的安全软件,同时保持系统和程序的更新。
目前,基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。
九、IOC
MD5
927EDC20C81AD01E3A7D15A96E3F95F1
60BC01B8A2F539349A2C5FFC59BA2273
858D81F1AF6FAE039C11986522E71E66
DC628991E7031A06C74CD035D9D90389
36F5389B52F0EA39EC66AFF13129B655
699D7CFAC5A0E2B72788F24828E9734E
CA4566AD0CB4243394179057B7221164
F19813E7177B47057A11859636DC32EA
C&C
47.238.149.216
qlcuwr.net

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5Mzg5MDM3NQ==&mid=2247497179&idx=1&sn=0b9ea1453d41d21c16264713023b6558&chksm=ec6985f3db1e0ce5604ac790451689e63dcd9c83e4a3982d53975e8d5002df0ccc801c6a0fda&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh