论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
IT评测·应用市场-qidao123.com技术社区
»
论坛
›
安全
›
主机安全
›
亚信安全捕获银狐木马控制端样本,发表最新发现 ...
亚信安全捕获银狐木马控制端样本,发表最新发现
李优秀
论坛元老
|
2024-8-31 18:52:23
|
显示全部楼层
|
阅读模式
楼主
主题
1378
|
帖子
1378
|
积分
4134
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
近日,亚信安全威胁情报中央获取到银狐远控样本,通过远控端天生一个Payload并对Payload进行分析,还原了银狐构造攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。
银狐木马简介
攻击者总是会将钓鱼页面部署在个人服务器上,然后通过流传恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。现该构造直接将钓鱼HTML页面存放在云存储桶中。
投递方式邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、压缩软件、PPT、美图和向日葵软件等。初始载荷:exe、chm、msi。
图1.1 银狐流程图
远控端分析
银狐拥有tcp和udp协议主机上线方式,并集成了键盘记录、视频查察、文件管理、系统管理、语音监听、文件操作、下令执行、反虚拟机和提权等功能,默认端口为6000。
远控端可以选择是否给样本进行upx加壳处理,在以往对银狐样本进行分析过程中发现该构造会使用upx加壳,手法具有同等性。
图2.1 远控端截图
图2.2 木马天生示例
会主动天生x86和x64两种架构的样本如图2.3所示:
图2.3 天生木马
远控端导入的功能模块(x86与x64雷同)
图2.4远控端功能部分
使用开源的dll2shellcode在内存加载前解密密码:
图2.5 加解密算法
图2.6 远控交换示例
受控端-木马分析过程
流程分析:
图3.1 主函数部分
图3.2 样本初始化
该样本通过检测磁盘是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”以及历程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”,假如存在则将进入while死循环,达到反虚拟机的目的
图3.3反虚拟机
假如获取到指定路径则通过创建GFIRestart32.exe实现开机自启动,否则写入"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"注册表项实现开机自启动。
图3.4 开机自启
会针对一些终端安全软件进行检测,达到规避杀软的目的:
图3.5 历程检测列表
数据传输使用CClientSocket类,实现样本通信:
图3.6 样本通信
网络的主机信息主要有:主机名、本机地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目次和盘号的属性,后期会将这些信息加密后作为上线地址发送给远控端。
图3.7 信息网络
创建互斥体以防范多开征象,具体步骤为路径拼接并创建名为“C:\ProgramData\sys.key”的互斥体:
图3.8 互斥体
上传与下载文件部分:
图3.9 指令部分
该远控木马的远控功能,如:文件传输、截图、键盘记录、网络用户系统信息、遍历是否存在网络分析工具等行为,可以通过上述分析从远控端及被控端展现出来。
通讯协议分析
通过对比gh0st 3.6版本的源码,我们注意到该样本接纳了雷同的操作流程,因此可以推断这是gh0st的改版版本。
该样本利用开源的压缩库zlib-1.2.11来传输数据。这一方法的上风在于其传输速度快、稳固,而且可以或许支持无穷数量的上线主机。同时,该样本具备同时控制上万台主机的能力。
图4.1 zlib源码比对
字符串中出现了zlib的版权及版本信息:
图4.2 zlib字符串
通常这类长途控制工具典范的数据结构包括一段特定的标识码,随后是经过Zlib压缩的数据。要确定是否接纳了Zlib压缩,我们可以通过观察数据流中的压缩头部标识来进行判定,一般而言,Zlib的头部标识为\x78\x9c。对样本进行抓包,可以看到拼接主机信息后的结构大致如下:
图4.3 上线包
样本归因
根据远控端pdb路径关联到的样本hash如表4.1所示:
表4.1 远控端 ioc
根据pdb路径关联到的payload如表4.2所示:
表4.2 payload ioc
综上,联合样本同源性的特征判断该样本属于银狐木马。
总结及处置建议
银狐作为恶意远控工具,通常将payload潜伏在各类常用软件的导入文件中,挂载到仿冒网站上,利用白加黑的方式进行加载,等待用户下载。
建议全面部署亚信安全防病毒产品,并及时更新组件;
由于银狐木马多接纳内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关历程;
银狐木马的攻击者可能会利用木马安装其他长期化组件,如xx终端安全管理系统,或其他长途软件;如确认非用户安装,请及时卸载和清算。
关于亚信安全威胁情报中央
亚信安全威胁情报中央:聚焦威胁情报研究,建立威胁情报运营能力,为产品提供联防联控和主动防御能力,提高安全威胁检测与相应能力。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复
使用道具
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
李优秀
论坛元老
这个人很懒什么都没写!
楼主热帖
什么是API密钥及其安全利用指南? ...
基于GLM生成SQL,基于MOSS生成SQL,其 ...
【Java结业计划】基于JavaWeb的在线购 ...
Docker Compose - 安装和基本使用 ...
mac安装java17(jdk17)
【云原生 | 从零开始学Kubernetes】二 ...
亲测有效,彻底解决msvcr100.dll丢失的7 ...
[Qt][Qt 网络][下]具体讲解
Linux体系(CentOS)下安装设置 Nginx 超 ...
C#使用NModbus4库创建Modbus TCP Slave ...
标签云
AI
运维
CIO
存储
服务器
浏览过的版块
.Net
程序人生
快速回复
返回顶部
返回列表