伪装成Chrome安装程序传播银狐最新变种
熊猫正正 发表于 广东 技术文章 705浏览 · 2025-01-01 23:46

前言概述

近日,笔者捕获到一例伪装成Chrome安装程序传播恶意软件的最新攻击样本,对该样本进行了详细分析,里面的恶意模块都使用了增肥和无效数字签名等技术,以逃避安全厂商的检测,同时还有一些反虚拟机检测,样本使用了三段ShellCode代码,还利用了一个开源的注入工具,会通过系统中的相关安全产品信息等,使用多种不同的方式注入加载执行ShellCode代码,分享出来供大家参考学习。

详细分析

1.初始样本伪装成Chrome的MSI安装程序,相关信息,如下所示:

2.解析MSI安装程序,如下所示:

3.CustomAction安装脚本,调用恶意模块的导出函数exitzi,如下所示:

4.MSI解压缩之后,包含恶意模块,如下所示:

5.恶意模块带有无效数字签名,数字签名信息,如下所示:

6.恶意模块使用了“增肥”技术,大小为二百多M,在DATA段中加入了大量的垃圾数据,如下所示:

7.恶意模块的导出函数exitzi,如下所示:

8.在指定的目录生成压缩包文件,如下所示:

9.生成的压缩包,如下所示:

10.通过遍历进程等信息反虚拟机操作,然后通过密码解压缩文件,如下所示:

11.解压缩之后,如下所示:

12.里面包含的恶意模块同样使用了相关的无效数字签名和增肥技术,模块大小为四百多M,相关信息,如下所示:

13.同样使用白+黑的技术,加载恶意模块,如下所示:

14.判断主程序调用参数,如下所示:

15.如果参数不对,则启动主程序并调用参数,如下所示:

16.判断是否存在hh.exe进程,如下所示:

17.如果不存在,则启动hh.exe进程,然后读取view.png图片的内容,然后将shellcode注入到hh.exe进程当中,如下所示:

18.注入ShellCode代码到进程当中,如下所示:

19.ShellCode代码,如下所示:

20.判断C:\users\public\downloads\目录下是否存在aut.txt文件,读取aut.png图片文件中的ShellCode代码,并执行,如下所示:

21.读取PNG图像ShellCode代码,如下所示:

22.ShellCode代码,如下所示:

23.下面来重点分析两个PNG图像中包含的ShellCode代码,先看view.png中的ShellCode代码,分配相应的内存空间,如下所示:

24.拷贝ShellCode中的加密数据到内存当中,如下所示:

25.解密加密的数据,如下所示:

26.解密数据之后,如下所示:

27.PayLoad的编译时间为2024年12月13号,如下所示:

28.解密出来PayLoad的应该也是银狐黑产的一个变种样本,相关的C2域名信息,如下所示:

29.解析C2配置信息,与此前银狐样本类似,如下所示:

30.通过分析aut.png图像中ShellCode代码功能与上面view.png图像中ShellCode代码功能一致,但解密出来的PayLoad不一样,通过分析该PayLoad引用了一个注入工具的代码,并会将ShellCode代码注入到explore.exe进程当中,如下所示:

31.代码中包含的PDB信息,如下所示:

32.注入进程过程,如下所示:

33.注入到explorer.exe进程之后,如下所示:

34.注入的ShellCode代码与上面的两个ShellCode代码的逻辑一致,分配相应的内存空间,然后将加密的数据拷贝到内存空间当中,如下所示:

35.解密ShellCode代码后面的数据,如下所示:

36.最后解密出PayLoad,如下所示:

37.最终解密出来的PayLoad,查询相关注册表项,设置快捷方式等,如下所示:

38.设置自启动注册表项,如下所示:

到这里三段ShellCode基本上分析完了,三段ShellCode的代码结构基本一致,应该是同一个框架生成的,两个图片中包含两段ShellCode代码,其中一个图片中会解密出另外一个ShellCode代码,并使用开源工具注入到进程当中执行,一个图片中ShellCode代码最终解密出来的PayLoad核心应该为银狐的最新变种。

威胁情报

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。

0 条评论
某人
表情
可输入 255