历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    银狐注入型最新样本分析
    熊猫正正 历史精选 1446浏览 · 2025-03-11 14:36

    前言概述
    最近几年“银狐”类黑产团伙非常活跃,今年这些黑产团伙会更加活跃,而且仍然会不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器,远程控制受害者主机之后,进行相关的网络犯罪活动。
    近日笔者在威胁情报平台上发现一例银狐的最新攻击样本,比较有意思,从平台上下载到相关的样本,对样本进行详细分析,如下所示:
    图片1.png
    图片加载失败


    通过监控发现银狐黑灰产组织最近攻击范围越来越大,更新越来越频繁,技术手段越来越高了,逃逸免杀技术也一直在更新,最近捕获的样本,分析的复杂程度也越来越高了,比目前一些常见的简单APT攻击样本更复杂。


    样本分析
    1.初始样本带有一个无效的数字签名证书,如下所示:
    图片2.png
    图片加载失败
    2.样本采用C#语言编写,如下所示:
    图片3.png
    图片加载失败
    3.解密URL配置信息,创建恶意程序目录,如下所示:
    图片4.png
    图片加载失败
    4.解密出来的URL配置信息,如下所示:
    图片5.png
    图片加载失败
    5.从远程服务器上读取URL配置信息文件,如下所示:
    图片6.png
    图片加载失败
    6.依次下载配置信息中的恶意程序到创建的目录,如下所示:
    图片7.png
    图片加载失败
    7.下载的恶意程序,如下所示:
    图片8.png
    图片加载失败
    8.启动Microsoft_Xtools.exe进程,采用白+黑的加载方式,加载恶意模块,如下所示:
    图片9.png
    图片加载失败
    9.下载的恶意模块使用Gzip解压缩,如下所示:
    图片10.png
    图片加载失败
    10.解压缩后的文件大小为二百多M,使用了增肥技术,并带有无效的数字签名,逃避安全软件的检测,如下所示:
    图片11.png
    图片加载失败
    11.在数据段填充了大量的空字符串,如下所示:
    图片12.png
    图片加载失败
    12.恶意模块采用C/C++语言编写,编译时间为2025年3月9日,如下所示:
    图片13.png
    图片加载失败
    13.生成相关的恶意程序,并设置注册表自启动项,如下所示:
    图片14.png
    图片加载失败
    14.读取view.res数据,设置相应的注册表项,如下所示:
    图片15.png
    图片加载失败
    15.设置的注册表项,如下所示:
    图片16.png
    图片加载失败
    16.生成的恶意程序,如下所示:
    图片17.png
    图片加载失败
    17.注册表自启动项,如下所示:
    图片18.png
    图片加载失败
    18.kitty.exe为游戏客户端,网站地址为https://www.overwolf.com/,采用白+黑方式加载恶意模块,如下所示:
    图片19.png
    图片加载失败
    19.恶意模块同样使用增肥技术,体积增长到二百多M,如下所示:
    图片20.png
    图片加载失败
    20.将上面注册表项DeepSer中MyData存储的ShellCode代码,注入到explorer或rundll32进程当中执行,如下所示:
    图片21.png
    图片加载失败
    21.注入之后,如下所示:
    图片22.png
    图片加载失败
    22.动态调试ShellCode,如下所示:
    图片23.png
    图片加载失败
    23.通过VirtualAlloc分配内存空间,如下所示:
    图片24.png
    图片加载失败
    24.将加密的数据存储到分配的内存空间,如下所示:
    图片25.png
    图片加载失败
    25.解密加密的数据,解密之后,如下所示:
    图片26.png
    图片加载失败
    26.解压缩解密后的数据,如下所示:
    图片27.png
    图片加载失败
    27.最终解密出来的PayLoad,采用C/C++编写,编译时间为2025年3月2日,如下所示:
    图片28.png
    图片加载失败
    28.PayLoad主程序代码,与此前分析的修改版Gh0st变种基本一致,如下所示:
    图片29.png
    图片加载失败
    29.黑客远程服务器C2域名为hk2.index2028.com,如下所示:
    图片30.png
    图片加载失败
    30.遍历系统的安全软件列表,如下所示:
    图片31.png
    图片加载失败
    其它功能与此前银狐Gh0st变种基本一致,不在重复分析,到此该银狐最新的变种样本分析完毕,最终通过将ShellCode代码注入到进程中执行,在内存中无法找到核心的PayLoad代码,防止安全软件对样本进行检测,银狐的样本真的变化太快了,黑客组织一直在更新自己的免杀技术。


    总结结尾
    黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
    0 人收藏 2 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255

    没有评论

      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持