近日在威胁情报平台上发现一例银狐的最新攻击样本，比较有意思，从平台上下载到相关的样本，对样本进行详细分析，如下所示：

[出自:jiwo.org]

通过监控发现银狐黑灰产组织最近攻击范围越来越大，更新越来越频繁，技术手段越来越高了，逃逸免杀技术也一直在更新，最近捕获的样本，分析的复杂程度也越来越高了，比目前一些常见的简单APT攻击样本更复杂。

样本分析

1.初始样本带有一个无效的数字签名证书，如下所示：

2.样本采用C#语言编写，如下所示：

3.解密URL配置信息，创建恶意程序目录，如下所示：

4.解密出来的URL配置信息，如下所示：

5.从远程服务器上读取URL配置信息文件，如下所示：

6.依次下载配置信息中的恶意程序到创建的目录，如下所示：

7.下载的恶意程序，如下所示：

8.启动Microsoft_Xtools.exe进程，采用白+黑的加载方式，加载恶意模块，如下所示：

9.下载的恶意模块使用Gzip解压缩，如下所示：

10.解压缩后的文件大小为二百多M，使用了增肥技术，并带有无效的数字签名，逃避安全软件的检测，如下所示：

11.在数据段填充了大量的空字符串，如下所示：

12.恶意模块采用C/C++语言编写，编译时间为2025年3月9日，如下所示：

13.生成相关的恶意程序，并设置注册表自启动项，如下所示：

14.读取view.res数据，设置相应的注册表项，如下所示：

15.设置的注册表项，如下所示：

16.生成的恶意程序，如下所示：

17.注册表自启动项，如下所示：

18.kitty.exe为游戏客户端，网站地址为https://www.overwolf.com/，采用白+黑方式加载恶意模块，如下所示：

19.恶意模块同样使用增肥技术，体积增长到二百多M，如下所示：

20.将上面注册表项DeepSer中MyData存储的ShellCode代码，注入到explorer或rundll32进程当中执行，如下所示：

21.注入之后，如下所示：

22.动态调试ShellCode，如下所示：

23.通过VirtualAlloc分配内存空间，如下所示：

24.将加密的数据存储到分配的内存空间，如下所示：

25.解密加密的数据，解密之后，如下所示：

26.解压缩解密后的数据，如下所示：

27.最终解密出来的PayLoad，采用C/C++编写，编译时间为2025年3月2日，如下所示：

28.PayLoad主程序代码，与此前分析的修改版Gh0st变种基本一致，如下所示：

29.黑客远程服务器C2域名为hk2.index2028.com，如下所示：

30.遍历系统的安全软件列表，如下所示：

其它功能与此前银狐Gh0st变种基本一致，不在重复分析，到此该银狐最新的变种样本分析完毕，最终通过将ShellCode代码注入到进程中执行，在内存中无法找到核心的PayLoad代码，防止安全软件对样本进行检测，银狐的样本真的变化太快了，黑客组织一直在更新自己的免杀技术。