前言概述

最近几年银狐类黑产团伙非常活跃，今年这些黑产团伙会更加活跃，而且仍然会不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，此前大部分银狐黑产团伙使用各种修改版的Gh0st远控作为其攻击武器，远程控制受害者主机之后，进行相关的网络犯罪活动。

经常有朋友通过微信给笔者发送各种样本，该样本VT上不报毒，通过分析是使用钉钉安装程序加载恶意模块的银狐样本，如下所示：

针对该样本进行了相关分析，分享出来给大家参考一下，解密出来的ShellCode与笔者此前分析的变种样本一样，只是外壳Loader又变了。

友情提示：通过百度或Google搜索一些软件的时候，一定要到正规的官方网站指定的下载渠道去下载安装，现在黑产组织会使用各种SEO技术将一些假冒的钓鱼网站或下载链接排在搜索引擎结果的最前面，诱骗受害者下载安装。

1.下载的初始样本为一个压缩包，解压缩之后，如下所示：

[出自:jiwo.org]

2.恶意模块采用C/C++编写，编译时间为2025年4月9日，如下所示：

3.恶意模块将体积增加到100多M，以逃避杀毒引擎的静态扫描，如下所示:

4.然后使用钉钉的安装程序加载恶意模块，钉钉的安装程序，如下所示：

5.采用白+黑的方式加载，如下所示：

6.反虚拟机操作，如下所示：

7.从远程服务器上下载加密的ShellCode数据，远程服务器使用友道Note，如下所示：

8.读取远程ShellCode代码到内存中，然后解密之后，通过函数调用，如下所示：

9.解密函数，如下所示：

10.ShellCode解密之后，与此前分析的ShellCode基本一致，如下所示：

11.提取出里面的PayLoad代码，如下所示：

其他分析过程省略了，与之前一样，可以参考笔者之前的文章，有兴趣的自己去分析研究一下吧