股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
银狐木马9月新变种:藏身explorer.exe核心进程,无声攻破终端防护
发布时间 :2025年10月29日
类型 :公司新闻
分享:
银狐木马9月新变种
前言
近期,亚信安全应急响应中心截获“银狐”木马家族最新变种,该变种通过钓鱼网站进行传播初投,其核心特点在于高度规避性和模块化。它综合利用了多层文件释放、进程注入、sRDI(Shellcode Reflective DLL Injection) shellcode加载、安全软件网络功能阻断等高级技术,最终在内存中加载功能齐全的远程控制木马,极大增加了检测和分析难度。该木马具备信息窃取、系统监控和远程控制能力,对企业及个人用户构成严重威胁。
样本信息
样本哈希(SHA1): b04c80c926b527260115fbfaea655a5c35579e09
加壳方式: UPX加壳,处理后发现为NSIS安装包(安装脚本被特殊处理,无法常规提取)。
主要载荷: 多功能远控木马(RAT)
C2服务器: 45.204.200.26:18852/9090/9091/9092
技术细节分析
初始投递与释放:
样本初始为一个经过特殊处理的NSIS安装包,执行后释放大量文件到多个目录,以此混淆安全软件的监控。
规避技术分析
该变种采用了多种先进技术来规避检测和分析
1、防御规避(Defense Evasion) WD排除项设置: 释放的Gchrome.exe会执行PowerShell命令,将C-F盘符添加为Windows Defender的扫描排除项,使Defender无法监控这些区域。 进程空洞(Process Hollowing):chrmstp.exe读取并解密Snegee.ini中的Payload,通过Call eax指令直接在自身内存空间中执行。 进程注入: 将解密后的Shellcode注入到explorer.exe常驻的系统进程中执行,实现进程隐藏。 sRDI技术(Shellcode Reflective DLL Injection):核心载荷(位于Config.json中)使用sRDI技术生成。该技术将DLL文件转换为位置无关的Shellcode,并自带一个PE加载器,能够直接在内存中反射加载并执行DLL,无需触碰磁盘,完美规避了基于磁盘扫描的安全产品。 阻断云查杀:样本会枚举进程,查找安全软件相关进程。一旦发现,便调用函数修改TCP表,阻断安全软件的云查杀、云监控等需要网络连接的核心防御功能。 2、持久化(Persistence): 通过执行Base64编码的PowerShell脚本,在系统中建立持久化机制,确保系统重启后恶意软件能再次运行。 攻击链 投递(Delivery): 通过钓鱼网站诱导用户下载并执行NSIS安装包。 部署(Deployment): 释放多个文件到系统各个目录。 执行(Execution): 通过Gchrome.exe设置WD排除项。 运行chrmstp.exe,解密并执行第一段PE(VFPower函数)。 VFPower创建互斥体iryhtyruqm(避免重复运行),并尝试提权。 权限维持(Privilege Escalation): 创建线程尝试提升权限。 防御规避(Evasion): 注入Shellcode到explorer.exe;发现安全软件进程则阻断其网络。 横向移动(Lateral Movement): 通过rundll32.exe加载执行intel.dll的DllRegisterServer导出函数,触发第二组shellcode(同样来自Config.json)。 命令与控制(C2): 第一阶段C2: 45.204.200.26:18852,通过recv接收第三阶段Shellcode。 第二阶段C2: 连接45.204.200.26的9090/9091/9092端口,下载并执行最终的远控木马。 最终载荷 最终在内存中加载的第三阶段Shellcode是一个功能完备的远控木马(RAT),具备以下能力: IOC 样本Hash: b04c80c926b527260115fbfaea655a5c35579e09 “银狐”变种详细分析
“银狐”是一个技术复杂、危害严重的高级持久化威胁(APT)。其多层释放、sRDI内存加载、主动对抗安全软件等特点,表明攻击者具有较高的技术水平,旨在进行长期、隐蔽的间谍活动。 针对“银狐”威胁,组织需要采取更加积极和综合的防御策略,结合技术控制、人员培训和流程改进,形成深度防御体系。同时,持续监控威胁情报,及时了解最新攻击手法和IOC指标,也是有效防御的重要组成部分。
全面部署具备智能体系化联动的安全产品,保持相关组件及时更新 保持系统以及常见软件更新,对高危漏洞及时修补 不要点击来源不明的邮件、附件以及邮件中包含的链接 请到正规网站下载程序 采用高强度的密码,避免使用弱口令密码,并定期更换密码 尽量关闭不必要的端口及网络共享
ATTK是亚信安全研发的疑难病毒检测工具,不仅可以高效收集系统信息,还具备强大的病毒检测和查杀能力。 ATTK银狐专杀工具集成了梦蝶引擎的最新能力,包含10万条以上的启发式规则,机器学习模型和海量的云查杀病毒库。其中,梦蝶云查杀库新增每周350万+病毒样本检测能力,并建立了转向流程将流行样本和银狐木马加入本地特征库。 亚信安全勒索治理方案 亚信安全建议通过高级威胁监测与治理产品对客户内网从网络流量、邮件以及文件等容易遭受黑客病毒攻击的维度进行全方位的检测,并通过终端检测与响应EDR进行攻击行为的溯源与验伤,锁定攻击源头与攻击方式。 通过本地威胁情报中心以及统一的安全运营平台基于病毒情报特征进行规则更新,并统一策略下发至云、网、边、端各个安全产品对木马病毒进行拦截阻断,防止病毒在内网环境中的进一步传播。 企业文件系统防护方案 针对黑客团伙利用伪造正常业务系统文件传播病毒的情况,亚信安全高级威胁文件沙箱DDAN作为专注于动态检测病毒文件的沙箱产品,可有效检测病毒文件,防护客户企业文件系统安全。 企业邮件系统防护方案 针对黑客团伙利用钓鱼邮件传播病毒的情况,亚信安全信桅高级威胁邮件防护系统DDEI作为专注于钓鱼邮件防治的国内TOP级邮件网关产品,对钓鱼邮件的检出与拦截率超过95%,对垃圾邮件的综合过滤率达到99.5%,可有效防治黑客通过邮件的方式传播病毒的行为。 通过邮件网关DDEI的内置沙箱深度分析附件中的木马,通过统一威胁运营平台将有害的附件情报同步到全网终端检测与响应设备实现自动遏制。 联动路径:亚信安全信桅高级威胁邮件网关(DDEI) ==>本地威胁情报中心==>统一威胁运营平台==>终端检测与响应(EDR) 亚信安全认为,尽管许多组织已实施网络安全防护措施,但他们仍然遭受勒索攻击。这主要是因为现有的安全策略大多针对传统勒索软件,未能意识到这种攻击形式已演变成一个复杂的侵害网络,并形成了庞大的犯罪产业。许多企业忽视了攻击手法的多样性和发展趋势,导致防御措施难以应对新型威胁。 因此,必须重新审视和升级安全策略,以适应不断变化的网络环境,开启关键日志收集、配置IP白名单规则、进行主机加固、部署入侵检测系统、建立灾备预案,并在遭遇勒索软件攻击时及时断网并保护现场,以便安全工程师排查。
分享到微信
X