标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2025-3517] 作者: ShYLie 发表于: [2025-03-13]
本文共 [15] 位读者顶过
前言概述 最近几年“银狐”类黑产团伙非常活跃,今年这些黑产团伙会更加活跃,而且仍然会不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器,远程控制受害者主机之后,进行相关的网络犯罪活动。 近日在威胁情报平台上发现一例银狐的最新攻击样本,比较有意思,从平台上下载到相关的样本,对样本进行详细分析,如下所示:
通过监控发现银狐黑灰产组织最近攻击范围越来越大,更新越来越频繁,技术手段越来越高了,逃逸免杀技术也一直在更新,最近捕获的样本,分析的复杂程度也越来越高了,比目前一些常见的简单APT攻击样本更复杂。 样本分析 1.初始样本带有一个无效的数字签名证书,如下所示:
2.样本采用C#语言编写,如下所示:
3.解密URL配置信息,创建恶意程序目录,如下所示:
4.解密出来的URL配置信息,如下所示:
5.从远程服务器上读取URL配置信息文件,如下所示:
6.依次下载配置信息中的恶意程序到创建的目录,如下所示:
7.下载的恶意程序,如下所示:
8.启动Microsoft_Xtools.exe进程,采用白+黑的加载方式,加载恶意模块,如下所示:
9.下载的恶意模块使用Gzip解压缩,如下所示:
10.解压缩后的文件大小为二百多M,使用了增肥技术,并带有无效的数字签名,逃避安全软件的检测,如下所示:
11.在数据段填充了大量的空字符串,如下所示:
12.恶意模块采用C/C++语言编写,编译时间为2025年3月9日,如下所示:
13.生成相关的恶意程序,并设置注册表自启动项,如下所示:
14.读取view.res数据,设置相应的注册表项,如下所示:
15.设置的注册表项,如下所示:
16.生成的恶意程序,如下所示:
17.注册表自启动项,如下所示:
18.kitty.exe为游戏客户端,网站地址为https://www.overwolf.com/,采用白+黑方式加载恶意模块,如下所示:
19.恶意模块同样使用增肥技术,体积增长到二百多M,如下所示:
20.将上面注册表项DeepSer中MyData存储的ShellCode代码,注入到explorer或rundll32进程当中执行,如下所示:
21.注入之后,如下所示:
22.动态调试ShellCode,如下所示:
23.通过VirtualAlloc分配内存空间,如下所示:
24.将加密的数据存储到分配的内存空间,如下所示:
25.解密加密的数据,解密之后,如下所示:
26.解压缩解密后的数据,如下所示:
27.最终解密出来的PayLoad,采用C/C++编写,编译时间为2025年3月2日,如下所示:
28.PayLoad主程序代码,与此前分析的修改版Gh0st变种基本一致,如下所示:
29.黑客远程服务器C2域名为hk2.index2028.com,如下所示:
30.遍历系统的安全软件列表,如下所示:
其它功能与此前银狐Gh0st变种基本一致,不在重复分析,到此该银狐最新的变种样本分析完毕,最终通过将ShellCode代码注入到进程中执行,在内存中无法找到核心的PayLoad代码,防止安全软件对样本进行检测,银狐的样本真的变化太快了,黑客组织一直在更新自己的免杀技术。 |