股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
银狐木马10月新变种:隐身“三件套”升级 从免杀突破到内存加载步步为营
发布时间 :2025年11月21日
类型 :公司新闻
分享:
银狐木马10月新变种
前言
近日,亚信安全应急响应中心截获“银狐”变种,该变种巧妙地运用 SetupFactory 打包,摒弃了 Lua 脚本直接执行 Shellcode 的常规套路,改用 “白加黑” 组件释放,这一转变宛如战术变阵,让安全防御体系难以捉摸其攻击节奏。更甚者,它身披多种虚拟机、沙盒环境检测的 “感应装甲”,在侵入瞬间就能精准判断自身所处环境,若有丝毫 “人工模拟” 的痕迹,便终止行动,其反侦察技术之精妙,堪称网络恶意软件中的佼佼者。
银狐新变种身披多种虚拟机、沙盒环境检测的
“感应装甲”
SetupFactory打包与安装例程
打包工具:使用SetupFactory打包,释放安装程序irsetup.exe,安装路径为C:\Program Files (x86)\aff-web
释放文件:安装过程中释放多个文件,包括:
CEFProcess.exe(合法签名文件)
libcef.dll(无签名恶意DLL)
隐匿手段:安装目录含敏感字符串(如“免杀”),表明攻击者针对性规避安全检测。
反虚拟机/沙盒技术升级
libcef.dll的导出函数cef_api_hash集成多维度环境检测功能:
白加黑组件利用
加载机制:合法程序CEFProcess.exe通过导入表加载恶意DLL libcef.dll,利用白文件信任链绕过静态检测;
功能隐匿:恶意代码不直接执行Shellcode,转而通过白文件触发后续攻击链,增强隐蔽性。
Shellcode执行与Payload加载
内存操作:
调用VirtualAlloc申请内存,解密并执行一阶段Shellcode。
Shellcode动态加载关键API(如LoadLibraryA、VirtualFree、WSAStartup)。
网络通信:
连接C2服务器,使用getaddrinfo解析地址,recv接收二阶段Payload。
多阶段加载:
一阶段Shellcode → 连接C2 → 接收二阶段Payload → CreateThread执行 → 释放完整PE文件。
最终Payload:
执行导出函数ShellCode,具备PDB路径:d:\project\gh0st_3.6\bins\release\mydll.pdb,表明基于gh0st远控木马变种开发。
恶意功能模块
最终Payload集成多种攻击功能:
安全软件检测:扫描并终止主流安全进程。
键盘记录:窃取输入信息,捕获账号密码。
持久化机制:通过注册表或计划任务实现长期驻留。
横向移动:利用内网协议(如SMB)感染其他设备
IOC
样本Hash:
ac2ee14942c4f8081138eb43eea2326e4964308092c09168dff8aeee41ff3347
银狐变种通过合法工具滥用、环境感知规避、多阶段内存加载三重技术升级,显著提升攻击隐蔽性。其利用白加黑组件分离恶意行为,规避传统AV/EDR的静态检测,最终植入功能完备的远控木马。企业需结合动态行为监控与威胁情报,阻断其通信链与持久化路径,同时强化员工对高仿真钓鱼手法的辨识能力。
针对“银狐”威胁,组织需要采取更加积极和综合的防御策略,结合技术控制、人员培训和流程改进,形成深度防御体系。同时,持续监控威胁情报,及时了解最新攻击手法和IOC指标,也是有效防御的重要组成部分。
全面部署具备智能体系化联动的安全产品,保持相关组件及时更新
保持系统以及常见软件更新,对高危漏洞及时修补
不要点击来源不明的邮件、附件以及邮件中包含的链接
请到正规网站下载程序
采用高强度的密码,避免使用弱口令密码,并定期更换密码
尽量关闭不必要的端口及网络共享
ATTK是亚信安全研发的疑难病毒检测工具,不仅可以高效收集系统信息,还具备强大的病毒检测和查杀能力。
ATTK银狐专杀工具集成了梦蝶引擎的最新能力,包含10万条以上的启发式规则,机器学习模型和海量的云查杀病毒库。其中,梦蝶云查杀库新增每周350万+病毒样本检测能力,并建立了转向流程将流行样本和银狐木马加入本地特征库。
亚信安全勒索治理方案
亚信安全建议通过高级威胁监测与治理产品对客户内网从网络流量、邮件以及文件等容易遭受黑客病毒攻击的维度进行全方位的检测,并通过终端检测与响应EDR进行攻击行为的溯源与验伤,锁定攻击源头与攻击方式。
通过本地威胁情报中心以及统一的安全运营平台基于病毒情报特征进行规则更新,并统一策略下发至云、网、边、端各个安全产品对木马病毒进行拦截阻断,防止病毒在内网环境中的进一步传播。
企业文件系统防护方案
针对黑客团伙利用伪造正常业务系统文件传播病毒的情况,亚信安全高级威胁文件沙箱DDAN作为专注于动态检测病毒文件的沙箱产品,可有效检测病毒文件,防护客户企业文件系统安全。
企业邮件系统防护方案
针对黑客团伙利用钓鱼邮件传播病毒的情况,亚信安全信桅高级威胁邮件防护系统DDEI作为专注于钓鱼邮件防治的国内TOP级邮件网关产品,对钓鱼邮件的检出与拦截率超过95%,对垃圾邮件的综合过滤率达到99.5%,可有效防治黑客通过邮件的方式传播病毒的行为。
通过邮件网关DDEI的内置沙箱深度分析附件中的木马,通过统一威胁运营平台将有害的附件情报同步到全网终端检测与响应设备实现自动遏制。
联动路径:亚信安全信桅高级威胁邮件网关(DDEI) ==>本地威胁情报中心==>统一威胁运营平台==>终端检测与响应(EDR)
亚信安全认为,尽管许多组织已实施网络安全防护措施,但他们仍然遭受勒索攻击。这主要是因为现有的安全策略大多针对传统勒索软件,未能意识到这种攻击形式已演变成一个复杂的侵害网络,并形成了庞大的犯罪产业。许多企业忽视了攻击手法的多样性和发展趋势,导致防御措施难以应对新型威胁。
因此,必须重新审视和升级安全策略,以适应不断变化的网络环境,开启关键日志收集、配置IP白名单规则、进行主机加固、部署入侵检测系统、建立灾备预案,并在遭遇勒索软件攻击时及时断网并保护现场,以便安全工程师排查。
分享到微信
X