详细分析

1.初始样本伪装成Chrome的MSI安装程序，相关信息，如下所示：

[出自:jiwo.org]

2.解析MSI安装程序，如下所示：

3.CustomAction安装脚本，调用恶意模块的导出函数exitzi，如下所示：

4.MSI解压缩之后，包含恶意模块，如下所示：

5.恶意模块带有无效数字签名，数字签名信息，如下所示：

6.恶意模块使用了“增肥”技术，大小为二百多M，在DATA段中加入了大量的垃圾数据，如下所示：

7.恶意模块的导出函数exitzi，如下所示：

8.在指定的目录生成压缩包文件，如下所示：

9.生成的压缩包，如下所示：

10.通过遍历进程等信息反虚拟机操作，然后通过密码解压缩文件，如下所示：

11.解压缩之后，如下所示：

12.里面包含的恶意模块同样使用了相关的无效数字签名和增肥技术，模块大小为四百多M，相关信息，如下所示：

13.同样使用白+黑的技术，加载恶意模块，如下所示：

14.判断主程序调用参数，如下所示：

15.如果参数不对，则启动主程序并调用参数，如下所示：

16.判断是否存在hh.exe进程，如下所示：

17.如果不存在，则启动hh.exe进程，然后读取view.png图片的内容，然后将shellcode注入到hh.exe进程当中，如下所示：

18.注入ShellCode代码到进程当中，如下所示：

19.ShellCode代码，如下所示：

20.判断C:\users\public\downloads\目录下是否存在aut.txt文件，读取aut.png图片文件中的ShellCode代码，并执行，如下所示：

21.读取PNG图像ShellCode代码，如下所示：

22.ShellCode代码，如下所示：

23.下面来重点分析两个PNG图像中包含的ShellCode代码，先看view.png中的ShellCode代码，分配相应的内存空间，如下所示：

24.拷贝ShellCode中的加密数据到内存当中，如下所示：

25.解密加密的数据，如下所示：

26.解密数据之后，如下所示：

27.PayLoad的编译时间为2024年12月13号，如下所示：

28.解密出来PayLoad的应该也是银狐黑产的一个变种样本，相关的C2域名信息，如下所示：

29.解析C2配置信息，与此前银狐样本类似，如下所示：

30.通过分析aut.png图像中ShellCode代码功能与上面view.png图像中ShellCode代码功能一致，但解密出来的PayLoad不一样，通过分析该PayLoad引用了一个注入工具的代码，并会将ShellCode代码注入到explore.exe进程当中，如下所示：

31.代码中包含的PDB信息，如下所示：

32.注入进程过程，如下所示：

33.注入到explorer.exe进程之后，如下所示：

34.注入的ShellCode代码与上面的两个ShellCode代码的逻辑一致，分配相应的内存空间，然后将加密的数据拷贝到内存空间当中，如下所示：

35.解密ShellCode代码后面的数据，如下所示：

36.最后解密出PayLoad，如下所示：

37.最终解密出来的PayLoad，查询相关注册表项，设置快捷方式等，如下所示：

38.设置自启动注册表项，如下所示：

到这里三段ShellCode基本上分析完了，三段ShellCode的代码结构基本一致，应该是同一个框架生成的，两个图片中分别包含一段ShellCode恶意代码，其中一个图片中会解密出另外一个ShellCode代码，并使用开源工具注入到进程当中执行，一个图片中ShellCode代码最终解密出来的PayLoad核心应该为银狐的最新变种。

威胁情报