近日,亚信安全威胁情报中心获取到银狐远控样本,通过远控端生成一个Payload并对Payload进行分析,还原了银狐组织攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。
攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。现该组织直接将钓鱼HTML页面存放在云存储桶中。
投递方式邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、压缩软件、PPT、美图和向日葵软件等。初始载荷:exe、chm、msi。
图1.1 银狐流程图
银狐拥有tcp和udp协议主机上线方式,并集成了键盘记录、视频查看、文件管理、系统管理、语音监听、文件操作、命令执行、反虚拟机和提权等功能,默认端口为6000。
远控端可以选择是否给样本进行upx加壳处理,在以往对银狐样本进行分析过程中发现该组织会使用upx加壳,手法具有一致性。
图2.1 远控端截图
图2.2 木马生成示例
会自动生成x86和x64两种架构的样本如图2.3所示:
图2.3 生成木马
远控端导入的功能模块(x86与x64相同)
图2.4远控端功能部分
使用开源的dll2shellcode在内存加载前解密密码:
图2.5 加解密算法
图2.6 远控交流示例
流程分析:
图3.1 主函数部分
图3.2 样本初始化
该样本通过检测磁盘是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”以及进程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”,如果存在则将进入while死循环,达到反虚拟机的目的
图3.3反虚拟机
如果获取到指定路径则通过创建GFIRestart32.exe实现开机自启动,否则写入"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"注册表项实现开机自启动。
图3.4 开机自启
会针对一些终端安全软件进行检测,达到规避杀软的目的:
图3.5 进程检测列表
数据传输使用CClientSocket类,实现样本通信:
图3.6 样本通信
收集的主机信息主要有:主机名、本机地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目录和盘号的属性,后期会将这些信息加密后作为上线地址发送给远控端。
图3.7 信息收集
创建互斥体以防范多开现象,具体步骤为路径拼接并创建名为“C:\ProgramData\sys.key”的互斥体:
图3.8 互斥体
上传与下载文件部分:
图3.9 指令部分
该远控木马的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为,可以通过上述分析从远控端及被控端展现出来。
通过对比gh0st 3.6版本的源码,我们注意到该样本采用了相同的操作流程,因此可以推断这是gh0st的改版版本。
该样本利用开源的压缩库zlib-1.2.11来传输数据。这一方法的优势在于其传输速度快、稳定,并且能够支持无限数量的上线主机。同时,该样本具备同时控制上万台主机的能力。
图4.1 zlib源码比对
字符串中出现了zlib的版权及版本信息:
图4.2 zlib字符串
通常这类远程控制工具典型的数据结构包括一段特定的标识码,随后是经过Zlib压缩的数据。要确定是否采用了Zlib压缩,我们可以通过观察数据流中的压缩头部标识来进行判定,一般而言,Zlib的头部标识为\x78\x9c。对样本进行抓包,可以看到拼接主机信息后的结构大致如下:
图4.3 上线包
根据远控端pdb路径关联到的样本hash如表4.1所示:
表4.1 远控端 ioc
根据pdb路径关联到的payload如表4.2所示:
表4.2 payload ioc
综上,结合样本同源性的特征判断该样本属于银狐木马。
银狐作为恶意远控工具,通常将payload隐藏在各类常用软件的导入文件中,挂载到仿冒网站上,利用白加黑的方式进行加载,等待用户下载。
建议全面部署亚信安全防病毒产品,并及时更新组件;
由于银狐木马多采用内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关进程;
银狐木马的攻击者可能会利用木马安装其他持久化组件,如xx终端安全管理系统,或其他远程软件;如确认非用户安装,请及时卸载和清理。
亚信安全威胁情报中心:聚焦威胁情报研究,建立威胁情报运营能力,为产品提供联防联控和主动防御能力,提高安全威胁检测与响应能力。