本帖最后由 瞿小凯 于 2025-6-26 09:56 编辑
银狐木马概述
近一年来,银狐木马传播势头居高不下,传播手段也是花样百出,俨然已经成为近期国内最为活跃的木马团伙之一。进入6月以来,其传播态势进一步抬头。360安全大脑在其传播高峰期的数据显示,曾出现过日均拦截近10万次木马传播的记录,并曾单日处理银狐近200种各类免杀变种的情况。同时,其用于传播的钓鱼攻击手段也在不断更新,近期更是出现以“防范银狐木马”“公职人员违规乱吃喝处罚名单自查”为文件名的钓鱼攻击,堪称“反向操作”大师,令人防不胜防。
当前版本银狐木马的一般攻击流程示意图如下:
图1. 当前版本银狐木马典型攻击流程示意图
360快速阻断木马传播
面对快速传播而又更新频繁的木马,360安全大脑利用云安全立体防护体系,进行了多维度多技术手段的有效阻击。
银狐木马传播所遇到的第一道防线便是360下载安全防护。360下载安全支持钉钉、微信、QQ等各类银狐木马传播中利用的通讯软件,实现对处于传播初期阶段的木马第一时间进行自动查杀。
图2. 360拦截银狐木马下载
面对360的防御,攻击者也在攻击手段上使出了浑身解数。我们总结了银狐木马团伙最近使用到的攻击手段,主要有如下几类:
l多文件攻击
攻击者在发送的木马压缩包中掺入大量正常、无关文件,试图以此来扰乱安全软件的视线。安全软件在对压缩包进行检查时,需要解压其中的文件才能进行有效扫描。而攻击者用这种方式试图来增加安全软件的解压分析失败率。
l大文件攻击
这是一类历史比较久远的攻击方式。攻击者用此类方式,阻止安全软件对样本的采样收集,试图延长自身的生存周期。
l加密压缩包攻击
攻击者还可能使用带密码的压缩包来传递木马。如果用户未能向安全软件提供解压密码,则会直接影响安全软件的安全分析能力。
l“配置型白利用”攻击
某些正常软件的行为可由其配置文件在一定范围内进行更改和指定。攻击者利用这类文件发起攻击时,安全软件如果仅检查可执行文件的安全性,可能无法有效识别存在于配置文件中的潜在风险。
面对以上种种攻击形式,我们依托大模型辅助的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,对其实施自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并监控其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等。360主动防御在对抗中不断成长,对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
图3. 360拦截银狐木马释放恶意驱动
360智能查杀能力
仅仅能防御病毒还不够,360还要对已经中招的设备进行查杀清理。
我们在2023年就推出了远控·勒索急救模式。对于已经中招的设备,360可以一键阻断攻击者对电脑的控制,为后续木马的清理提供宝贵的时间。
图4. 360远控·勒索急救模式
对顽固木马的清理,360支持对各类驱动级木马的清理、对被篡改的系统配置进行修复。依托这些能力,我们能够彻底清除银狐木马对系统的破坏。同时,我们还支持了对被银狐木马利用的IPGuard、安在管理软件、阳途管理软件等软件的智能卸载。目前,我们可以自信地说,360是国内清理能力最为全面的安全软件。
样本分析
当前,银狐木马实际上是一大类钓鱼远控木马的总称。而目前流行的银狐木马旗下,包含有多个不同制作团队和传播团伙开发的多款木马。对木马进行溯源可以发现,其参与成员多数位于东南亚地区,此外也有部分国内灰黑产成员参与。他们利用Telegram网络组织进行联系,不同团伙间有较为显著的技术差异,但同时也保持着较为频繁的技术交流。
下面,我们选取了近期较为典型的一个活跃样本进行分析说明。该样本压缩包的文件名及其内部文件组成为:
最新查杀防护Killingtools6V-069-VN.zip
123.txt
最新查杀防护Killingtools6V-069-VN.exe
压缩包中的文件及“123.txt”的文件内容如下图:
图5. 压缩包中的文件及文本内容
木马安装
该木马首次运行的时候会判断当前进程名是不是svchost.exe、winlogon.exe、vds.exe、vssvc.exe、explorer.exe。如果不是则通过查找vss服务启动vssvc.exe进程,再通过线程池方式注入vssvc.exe进程当中,实现木马的隐藏运行。
图6. 木马通过线程池注入手段注入vssvc.exe进程中
在木马注入完成后,会遍历进程查询是否有ZhuDongFangYu.exe和360tray.exe进程。如果存在的话则会断开网络。
图7. 木马发现360后便会断开网络
然后,木马会在系统驱动目录下(通常为C:\Windows\system32\drivers)释放被利用的第三方驱动,并通过SCM注册驱动服务,最后启动该服务。
图8. 将释放的驱动注册为服务并启动
木马通过这个释放出的驱动来关闭ZhuDongFangYu.exe和360tray.exe,成功后再恢复网络。
完成对安全软件的截杀后,银狐会释放一阶段木马,释放的木马主体路径如下:
C:\Program Files\Internet Explorer\nvsc.exe
此外还会释放木马加载程序glbdll.dll,以及加密数据文件glbdll.bin。最终通过COM方式添加计划任务。
图9. 木马添加计划任务
木马执行
最后,木马会加载核心的远控木马。该远控木马具备常规的远控功能,如获取主机信息、截屏、键盘记录等功能。
图10. 加载远控木马
远控木马获取剪贴板内容后,会把其内容写入到key文件中:
C:\Program Files\Internet Explorer\temp.key
远控木马上线C2的IP地址为13.230.98.233。在木马在上线前,会大量解析访问正常站点,以此来躲避一些网络防护监控的监测。
图11. 木马获取剪切板内容
完成一阶段木马安装后,攻击者会手动下发二阶段木马安装包并手动运行安装,实现对被攻击设备的长期控制。
发起电诈攻击
在完成二阶段远控的安装后,攻击者还会利用用户不在电脑前的时机再次快速向用户的好友传播木马,并尝试发起电诈攻击。
当前,银狐木马会利用被害者电脑中的微信、钉钉群,发下图中的钓鱼文档,诱导其他用户支付宝扫码。
图12. 攻击者通过电诈攻击发送的钓鱼文档
而其二维码中对应的内容通常是一个钓鱼网站,比如,对上图中的二维码进行解码,可以看到链接内容如下图:
图13. 对钓鱼文档中的二维码进行解码分析
此外,也有类似下面的钓鱼链接。两者的共同特点是利用支付宝的功能页面跳转,伪装其钓鱼链接,使用户更难发现其钓鱼攻击,而且其最终钓鱼落地页面,也是被挂马的正常网站。
图14. 另一些二维码中的挂马站点连接
如果用户扫描其钓鱼二维码,就会看到类似于如下页面的钓鱼网页。攻击者会在站点中进一步骗取用户的个人信息、银行账户信息,最终诱导用户实施转账支付,骗取用户金融资产。
图15. 最终呈现在用户面前的钓鱼页面
拦截防护
360安全大脑可拦截并查杀此类木马,已安装有360终端安全产品的用户不必太过担心。
图16. 360安全大脑有效拦截上述分析的银狐木马
安全建议
l强化终端防护
在企业内部设备中部署安全软件,开启实时监控与自动更新,若安全软件异常退出,应立即断网查杀。
l严控文件风险
对不明压缩包及可执行文件,坚持不解压、不运行、不轻信。有条件的情况下,应将可疑文件上传至可信的安全分析平台进行检测和上报。
l警惕钓鱼信息
收到含“财税”“自查”甚至是此次传播中出现的“防范木马”等敏感关键词的通知文件,务必通过官网、官方APP或电话等方式进行二次核实,勿直接点击链接或下载附件。
l规范软件下载
各类办公软件或工具软件应从官网或企业内部平台获取,并检查数字签名。来自网盘或通信软件中的文件下载后,要先经安全软件扫描。
l及时应急处理
发现系统异常占用、账号异地登录等风险征兆,应尽快使用360等安全产品进行全面扫描,必要时重装系统。
l行业重点防护
如财税或涉密等重点、敏感岗位,在业务高峰期执行文件应双人复核,避免在公网环境中处理敏感数据。企业应通过EDR、EPP等安全系统,对恶意软件的运行及通信进行全方位告警和拦截。
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层