标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2025-3517]   作者: ShYLie 发表于: [2025-03-13]

本文共 [15] 位读者顶过

前言概述

最近几年“银狐”类黑产团伙非常活跃,今年这些黑产团伙会更加活跃,而且仍然会不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器,远程控制受害者主机之后,进行相关的网络犯罪活动。

近日在威胁情报平台上发现一例银狐的最新攻击样本,比较有意思,从平台上下载到相关的样本,对样本进行详细分析,如下所示:

[出自:jiwo.org]

通过监控发现银狐黑灰产组织最近攻击范围越来越大,更新越来越频繁,技术手段越来越高了,逃逸免杀技术也一直在更新,最近捕获的样本,分析的复杂程度也越来越高了,比目前一些常见的简单APT攻击样本更复杂。

样本分析

1.初始样本带有一个无效的数字签名证书,如下所示:


2.样本采用C#语言编写,如下所示:



3.解密URL配置信息,创建恶意程序目录,如下所示:



4.解密出来的URL配置信息,如下所示:


5.从远程服务器上读取URL配置信息文件,如下所示:


6.依次下载配置信息中的恶意程序到创建的目录,如下所示:


7.下载的恶意程序,如下所示:


8.启动Microsoft_Xtools.exe进程,采用白+黑的加载方式,加载恶意模块,如下所示:


9.下载的恶意模块使用Gzip解压缩,如下所示:


10.解压缩后的文件大小为二百多M,使用了增肥技术,并带有无效的数字签名,逃避安全软件的检测,如下所示:


11.在数据段填充了大量的空字符串,如下所示:


12.恶意模块采用C/C++语言编写,编译时间为2025年3月9日,如下所示:


13.生成相关的恶意程序,并设置注册表自启动项,如下所示:


14.读取view.res数据,设置相应的注册表项,如下所示:


15.设置的注册表项,如下所示:


16.生成的恶意程序,如下所示:


17.注册表自启动项,如下所示:


18.kitty.exe为游戏客户端,网站地址为https://www.overwolf.com/,采用白+黑方式加载恶意模块,如下所示:


19.恶意模块同样使用增肥技术,体积增长到二百多M,如下所示:


20.将上面注册表项DeepSer中MyData存储的ShellCode代码,注入到explorer或rundll32进程当中执行,如下所示:


21.注入之后,如下所示:


22.动态调试ShellCode,如下所示:


23.通过VirtualAlloc分配内存空间,如下所示:


24.将加密的数据存储到分配的内存空间,如下所示:


25.解密加密的数据,解密之后,如下所示:


26.解压缩解密后的数据,如下所示:


27.最终解密出来的PayLoad,采用C/C++编写,编译时间为2025年3月2日,如下所示:


28.PayLoad主程序代码,与此前分析的修改版Gh0st变种基本一致,如下所示:


29.黑客远程服务器C2域名为hk2.index2028.com,如下所示:


30.遍历系统的安全软件列表,如下所示:


其它功能与此前银狐Gh0st变种基本一致,不在重复分析,到此该银狐最新的变种样本分析完毕,最终通过将ShellCode代码注入到进程中执行,在内存中无法找到核心的PayLoad代码,防止安全软件对样本进行检测,银狐的样本真的变化太快了,黑客组织一直在更新自己的免杀技术。

评论

暂无
发表评论
 返回顶部 
热度(15)
 关注微信