近日,亚信安全威胁情报中心获取了银狐远程控制样本,通过远程控制终端生成了payload并对其进行了分析,还原了银狐组织的完整攻击流程。 建议相关用户部署全面的防病毒产品,并积极采取相关措施。
银狐木马简介
攻击者总是会在个人服务器上部署网络钓鱼页面,然后通过传播恶意链接将受害者引导至这些页面。 这种方法很容易被网络安全系统检测到。 现在该组织直接将钓鱼 HTML 页面存储在云存储桶中。
投递方式包括邮件钓鱼、水坑、微信社交工程投递木马等。水坑攻击中存在数十种假冒软件,包括但不限于WPS软件、PDF软件、CAD软件、qwbpro(奇微宝)、微信、加速器、压缩软件、 PPT、美图秀秀、向日葵软件等。初始加载:exe、chm、msi。
【图1.1银狐流程图】
远程控制终端分析
Silver Fox具有TCP和UDP协议主机上网方式,集成了键盘记录、视频查看、文件管理、系统管理、语音监听、文件操作、命令执行、反虚拟机、权限提升等功能。 默认端口为 6000。
远程控制端可以选择是否对样本进行upx打包。 以往对银狐样品的分析中,发现该组织采用upx填料,且方法一致。
【图2.1远程控制端截图】
【图2.2木马生成示例】
将会自动生成x86和x64架构的样本,如图2.3所示:
【图2.3生成木马】
远程控制终端导入的功能模块(x86和x64相同)
【图2.4 远程控制终端功能部分】
使用开源 dll2shellcode 在加载到内存之前解密密码:
【图2.5加解密算法】
【图2.6 远程控制通信示例】
受控端木马分析流程
流程分析:
【图3.1主要功能部分】
【图3.2初始化示例】
该示例检测磁盘上是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”和进程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”。 如果存在实现远程控制的木马软件,就会进入while无限循环。 ,达到反虚拟机的目的
【图3.3 反虚拟机】
如果获取到指定路径,则创建GFIRestart32.exe,实现开机自启动。 否则,写入“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”注册表项以实现开机自动启动。
【图3.4 开机自动启动】
它会检测一些终端安全软件,以避免杀毒软件:
【图3.5进程检测列表】
数据传输使用CClientSocket类实现示例通信:
【图3.6 通讯示例】
收集的主机信息主要包括:主机名、本地地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目录和磁盘号属性。 该信息稍后将被加密并用作在线地址。 发送至远程控制终端。
【图3.7信息收集】
创建互斥体以防止多次打开。 具体步骤是拼接路径并创建名为“C:\ProgramData\sys.key”的互斥体:
【图3.8互斥体】
上传和下载文件部分:
【图3.9命令部分】
该远程控制木马的远程控制功能,如文件传输、截图、键盘记录、收集用户系统信息、遍历是否有网络分析工具等,都可以通过以上方式从远程控制端和被控端进行显示分析。
通信协议分析
通过对比gh0st 3.6版本的源代码,我们注意到该样本使用了相同的操作流程,因此我们可以推断这是gh0st的修订版本。
本示例使用开源压缩库zlib-1.2.11来传输数据。 这种方式的优点是传输速度快、稳定,可以支持无限数量的在线主机。 同时,该样本具有同时控制数万台主机的能力。
【图4.1 zlib源码对比】
字符串中出现了zlib的版权和版本信息:
【图4.2 zlib字符串】
通常,此类远程控制工具的典型数据结构包括特定的识别码,后面是Zlib压缩的数据。 判断是否使用Zlib压缩,我们可以通过观察数据流中的压缩头标识来判断。 一般来说,Zlib头标识符是\x78\x9c。 抓包样本,可以看到主机信息拼接后的结构大致如下:
【图4.3 在线包】
样本归因
与远程控制 pdb 路径关联的示例哈希如表 4.1 所示:
【表4.1 远程控制终端ioc】
与 pdb 路径关联的有效负载如表 4.2 所示:
【表4.2有效负载ioc】
综上,结合样本的同源特征,判断该样本属于银狐木马。
总结及处置建议
Silver Fox作为一种恶意远程控制工具,通常将payload隐藏在各种常用软件的导入文件中,挂载到假冒网站上实现远程控制的木马软件,通过黑白方式加载,等待用户下载。
关于亚信威胁情报中心
亚信安全威胁情报中心:聚焦威胁情报研究,建立威胁情报运营能力,为产品提供联防联控和主动防御能力,提升安全威胁检测和响应能力。
