【安全资讯】银狐的反击——模拟点击放行拦截弹窗

银狐肆虐

       “银狐木马”家族从2023年起在国内肆虐，该家族木马通常用钓鱼网页、即时通信工具、邮箱等方式向众多行业的从业人员投递钓鱼远控木马。在黑产团伙中该家族被广泛应用，并且不同团伙采用的攻击手法各异，加载“银狐”的方式也层出不穷，最终呈现的“银狐”木马版本也各有差异。

       此家族木马主要目标是企业和机构内的管理、财务、销售及电商人员，通过精心设计和投递远控木马实施钓鱼攻击。一旦成功感染受害者计算机，木马可长期驻留并窃取敏感信息，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。

       近期，银狐木马对抗技术又出现了新的变化。根据用户反馈，当有该家族木马在机器上运行后，360的防御检测系统会第一时间检测到危险并进行弹窗拦截。但是该木马并未就此罢休——新版本的银狐会利用模拟鼠标点击的方式试图点击拦截弹窗的“允许”按钮，以此让木马继续运行。

       不过360对此也早有布局——当前最新版本的360主动防御系统已经可以对此类攻击方式进行有效的拦截。

图1. “模拟按键”拦截记录

木马分析

       下面，通过一个受害用户的真实案例对银狐木马这一次的最新典型变种样本进行技术层面的分析说明。该典型木马样本是通过钓鱼手段误导用户主动下载到机器中并进一步执行的。木马主体伪装成安装包程序，并以“T20.1setupInstall.exe”命名。

       程序一旦被执行，便会在“%ProgramFiles%\安装项目1”路径下释放一组白利用木马程序，其被利用的主体白程序名为srcds_x64.exe。该程序本身并无恶意，但在执行后会加载同目录下的NGClient64.aes文件。

图2. 木马释放到“%ProgramFiles%\安装项目1”路径下的白利用程序

       而一旦srcds_x64.exe加载了NGClient64.aes文件后，便会在内存中对其进行解密，最终在内存中到一个存在恶意可执行代码的动态链接库（DLL）文件。通过分析后发现被加载的这个DLL会一直监控系统中是否出现了金山、火绒、360等安全软件的拦截弹窗。而一旦发现了弹窗，DLL则会调用mouse_event进行更进一步的模拟点击操作。

图3. 恶意代码监控拦截弹窗

       此外，该变种木马显然也是提前做足了“功课”——其恶意代码针对360的主动防御系统除了调用通常的mouse_event函数外，还会进行一项额外的“双保险”操作，即调用NtUserInjectMouseInput函数再次尝试进行模拟点击。

图4. 模拟点击“双保险”

       也就是在这一步操作中，360安全大脑客户端会通过在系统内早已部署好的监控点，有效发现木马对这类敏感的系统函数进行调用。故此，在木马程序进行这种对用户操作极端近似的模拟操作时，360安全大脑便可以第一时间有效拦截。

图5. 360安全大脑拦截模拟鼠标点击操作

       而除了进行模拟点击来进行“自助式放行”操作外，该木马还会窃取用户机器的信息。窃取的信息包括了计算机名称、防病毒软件、操作系统详细信息和硬件ID等信息。

图6. 木马窃取系统信息

       此外，加载插件、键盘记录、截屏、获取粘贴板数据、录音等功能也是该家族木马的常规操作了。

图7. 银狐木马的其他“常规能力”

       同时，木马还会通过在注册表中添加自启动项以及添加系统计划任务等方式实现随系统运行和在系统内的长期驻留。

图8. 木马添加注册表启动项

图9. 木马添加系统计划任务

拦截防护
       360安全大脑在银狐木马的主体程序刚刚进入到系统内时便已可以有效拦截。

图10. 360安全大脑拦截木马主体程序

       而亦如报告开篇所述，虽然新变种的银狐木马已对安全软件的防护开启了“还击”手段，但360也已是早有部署。

       同时，我们也建议用户开启360的“远控·勒索急救”功能，可以对包括银狐木马在内的各类远控、勒索类恶意程序进行更加具有针对性的监控和拦截，守护用户系统安全。

图11. “远控·勒索急救”功能

图12. “远控·勒索急救”专项体检

安全建议

• 安装并确保开启安全软件，保证其对本机的安全防护。
• 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件。
• 下载软件、文件时，注意识别下载地址，谨防钓鱼页面，推荐使用带有防钓鱼功能的360安全浏览器进行访问。
• 如果曾经运行过此类木马或者怀疑设备已经中招，可以尽快使用360终端安全产品进行检测查杀。