前言概述

最近几年银狐类黑产团伙非常活跃，今年这些黑产团伙会更加活跃，而且仍然会不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，此前大部分银狐黑产团伙使用各种修改版的Gh0st远控作为其攻击武器，远程控制受害者主机之后，进行相关的网络犯罪活动。

近期黑灰产以及勒索攻击活跃都非常频繁，近日发现一例大灰狼远控样本，样本信息，如下所示

沙箱没有跑出网络特征，如下所示：

[出自:jiwo.org]

从平台上下载到该样本，对样本进行相关分析，该样本包含正常数字签名，如下所示：

此前笔者也分析过一个带有正常数字签名的银狐样本，可参考之前的相关文章。

《正常数字签名的银狐样本》

样本分析

1.样本采用C++语言编写，编译时间为2025年3月21日，如下所示：

2.样本运行之后，会创建两个名称分别为Kaspersky和KasperskyServer的服务，如下所示：

3.在指定的目录下生成服务对应的恶意文件以及配置信息文件，如下所示：

4.line.dat文件中包含黑客远程服务器IP地址，如下所示：

5.根据生成的恶意程序以及主程序中包含的PDB信息和静态代码特征，基本可以确认该样本为大灰狼远控样本，如下所示：

其他分析省略，大灰狼远控就是Gh0st远控的修改版之一，其核心代码就是基于Gh0st远控源码修改的，有兴趣的朋友可以自行研究，有啥问题再找我交流。