安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/t/15941
先知社区 作者:熊猫正正
TG群、暗网是黑灰产的聚集地,也是钓鱼攻击的重灾区,搞钱也是大多数黑产组织最直接的攻击目的,有利益的地方就有黑灰产,最近一些年随着WEB3以及数字货币的流行与发展,产生了很多新型的产业链,同时也催生出了很多新型的黑客攻击活动,例如挖矿、勒索、盗币等。
近日,在某个欧易OKX官方中文数字货币交流群(群成员有快20万人)里捕获到一个银狐黑产组织的最新攻击样本,对该攻击样本加载母体进行了详细分析,分享出来供大家参考学习。
样本分析
1.初始样本是一个MSI安装程序,相关信息,如下所示:
2.解析MSI安装程序,如下所示:
3.CustomAction安装脚本,调用DriveAstuteSupporterCSE安装脚本,如下所示:
4.DriveAstuteSupporterCSE安装脚本,内容如下所示:
5.初始化相关的文件名、调用参数以及解压密码等,如下所示:
6.设置指定的排除文件目录扫描,对抗系统Windows Defender安全软件,如下所示:
7.在指定的文件目录下生成相关的恶意文件并通过指定的参数调用,然后删除多余的文件,如下所示:
8.生成的恶意文件,如下所示:
9.相关进程信息,如下所示:
10.判断主机是否联网以及解析调用参数,如下所示:
11.在内存分配相关的空间,然后将解密出来的shellcode代码拷贝到该内存,如下所示:
12.跳转执行ShellCode代码,如下所示:
13.ShellCode分配相关的内存空间,如下所示:
14.解密ShellCode后面的PayLoad数据,如下所示:
15.解密之后,如下所示:
16.解密出来的PayLoad编译时间为2024年10月15日,如下所示:
17.银狐木马变种标识性导出函数fuckyou,如下所示:
18.初始化样本的相关信息,如下所示:
19.远程服务器IP为38.47.232.92,如下所示:
20.通过威胁情报平台查询相关域名信息,已经标记为银狐木马,如下所示:
解密出来的PayLoad与此前发现的银狐变种,基本一致就不重复分析了,同时通过威胁情报可以关联出多个同批次的样本和情报,基本手法与上面一致。
威胁情报
总结结尾
去年使用“银狐”黑客远控工具的几个黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家持续关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究