亚信安全捕获银狐木马控制端样本，发表最新发现

近日，亚信安全威胁情报中央获取到银狐远控样本，通过远控端天生一个Payload并对Payload进行分析，还原了银狐构造攻击的完整过程。建议相关用户部署全面防病毒产品，积极采取相关措施。

银狐木马简介

攻击者总是会将钓鱼页面部署在个人服务器上，然后通过流传恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。现该构造直接将钓鱼HTML页面存放在云存储桶中。

投递方式邮件钓鱼、水坑、微信社工投递木马等，水坑攻击中伪造的软件多达数十款，包括但不限于软件WPS、PDF、CAD、qwbpro（企微宝）、微信、加速器、压缩软件、PPT、美图和向日葵软件等。初始载荷：exe、chm、msi。

图1.1 银狐流程图

远控端分析

银狐拥有tcp和udp协议主机上线方式，并集成了键盘记录、视频查察、文件管理、系统管理、语音监听、文件操作、下令执行、反虚拟机和提权等功能，默认端口为6000。

远控端可以选择是否给样本进行upx加壳处理，在以往对银狐样本进行分析过程中发现该构造会使用upx加壳，手法具有同等性。

图2.1 远控端截图

图2.2 木马天生示例

会主动天生x86和x64两种架构的样本如图2.3所示：

图2.3 天生木马

远控端导入的功能模块（x86与x64雷同）

图2.4远控端功能部分

使用开源的dll2shellcode在内存加载前解密密码：

图2.5 加解密算法

图2.6 远控交换示例

受控端-木马分析过程

流程分析：

图3.1 主函数部分

图3.2 样本初始化

该样本通过检测磁盘是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”以及历程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”，假如存在则将进入while死循环，达到反虚拟机的目的

图3.3反虚拟机

假如获取到指定路径则通过创建GFIRestart32.exe实现开机自启动，否则写入"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"注册表项实现开机自启动。

图3.4 开机自启

会针对一些终端安全软件进行检测，达到规避杀软的目的：

图3.5 历程检测列表

数据传输使用CClientSocket类，实现样本通信：

图3.6 样本通信

网络的主机信息主要有：主机名、本机地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目次和盘号的属性，后期会将这些信息加密后作为上线地址发送给远控端。

图3.7 信息网络

创建互斥体以防范多开征象，具体步骤为路径拼接并创建名为“C:\ProgramData\sys.key”的互斥体：

图3.8 互斥体

上传与下载文件部分：

图3.9 指令部分

该远控木马的远控功能，如：文件传输、截图、键盘记录、网络用户系统信息、遍历是否存在网络分析工具等行为，可以通过上述分析从远控端及被控端展现出来。

通讯协议分析

通过对比gh0st 3.6版本的源码，我们注意到该样本接纳了雷同的操作流程，因此可以推断这是gh0st的改版版本。

该样本利用开源的压缩库zlib-1.2.11来传输数据。这一方法的上风在于其传输速度快、稳固，而且可以或许支持无穷数量的上线主机。同时，该样本具备同时控制上万台主机的能力。

图4.1 zlib源码比对

字符串中出现了zlib的版权及版本信息：

图4.2 zlib字符串

通常这类长途控制工具典范的数据结构包括一段特定的标识码，随后是经过Zlib压缩的数据。要确定是否接纳了Zlib压缩，我们可以通过观察数据流中的压缩头部标识来进行判定，一般而言，Zlib的头部标识为\x78\x9c。对样本进行抓包，可以看到拼接主机信息后的结构大致如下：

图4.3 上线包

样本归因

根据远控端pdb路径关联到的样本hash如表4.1所示：

表4.1 远控端 ioc

根据pdb路径关联到的payload如表4.2所示：

表4.2 payload ioc

综上，联合样本同源性的特征判断该样本属于银狐木马。

总结及处置建议

银狐作为恶意远控工具，通常将payload潜伏在各类常用软件的导入文件中，挂载到仿冒网站上，利用白加黑的方式进行加载，等待用户下载。

• 建议全面部署亚信安全防病毒产品，并及时更新组件；
  
• 由于银狐木马多接纳内存加载、白加黑攻击的形式；对于已感染主机须在查杀后手动停止相关历程；
  
• 银狐木马的攻击者可能会利用木马安装其他长期化组件，如xx终端安全管理系统，或其他长途软件；如确认非用户安装，请及时卸载和清算。
  

关于亚信安全威胁情报中央

亚信安全威胁情报中央：聚焦威胁情报研究，建立威胁情报运营能力，为产品提供联防联控和主动防御能力，提高安全威胁检测与相应能力。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。