亚信安全捕获银狐木马控制端样本,揭晓最新发现

近日,亚信安全威胁情报中心获取到银狐远控样本,通过远控端生成一个Payload并对Payload进行分析,还原了银狐组织攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第1张图片

银狐木马简介

攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。现该组织直接将钓鱼HTML页面存放在云存储桶中。

投递方式邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、压缩软件、PPT、美图和向日葵软件等。初始载荷:exe、chm、msi。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第2张图片

图1.1 银狐流程图

远控端分析

银狐拥有tcp和udp协议主机上线方式,并集成了键盘记录、视频查看、文件管理、系统管理、语音监听、文件操作、命令执行、反虚拟机和提权等功能,默认端口为6000。

远控端可以选择是否给样本进行upx加壳处理,在以往对银狐样本进行分析过程中发现该组织会使用upx加壳,手法具有一致性。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第3张图片

图2.1 远控端截图

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第4张图片

图2.2 木马生成示例

会自动生成x86和x64两种架构的样本如图2.3所示:

图片

图2.3 生成木马

远控端导入的功能模块(x86与x64相同)

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第5张图片

图2.4远控端功能部分

使用开源的dll2shellcode在内存加载前解密密码:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第6张图片

图2.5 加解密算法

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第7张图片

图2.6 远控交流示例

受控端-木马分析过程

流程分析:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第8张图片

图3.1 主函数部分

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第9张图片

图3.2 样本初始化

该样本通过检测磁盘是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”以及进程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”,如果存在则将进入while死循环,达到反虚拟机的目的

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第10张图片

图3.3反虚拟机

如果获取到指定路径则通过创建GFIRestart32.exe实现开机自启动,否则写入"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"注册表项实现开机自启动。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第11张图片

图3.4 开机自启

会针对一些终端安全软件进行检测,达到规避杀软的目的:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第12张图片

图3.5 进程检测列表

数据传输使用CClientSocket类,实现样本通信:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第13张图片

图3.6 样本通信

收集的主机信息主要有:主机名、本机地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目录和盘号的属性,后期会将这些信息加密后作为上线地址发送给远控端。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第14张图片

图3.7 信息收集

创建互斥体以防范多开现象,具体步骤为路径拼接并创建名为“C:\ProgramData\sys.key”的互斥体:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第15张图片

图3.8 互斥体

上传与下载文件部分:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第16张图片

图3.9 指令部分

该远控木马的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为,可以通过上述分析从远控端及被控端展现出来。

通讯协议分析

通过对比gh0st 3.6版本的源码,我们注意到该样本采用了相同的操作流程,因此可以推断这是gh0st的改版版本。

该样本利用开源的压缩库zlib-1.2.11来传输数据。这一方法的优势在于其传输速度快、稳定,并且能够支持无限数量的上线主机。同时,该样本具备同时控制上万台主机的能力。

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第17张图片

图4.1 zlib源码比对

字符串中出现了zlib的版权及版本信息:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第18张图片

图4.2 zlib字符串

通常这类远程控制工具典型的数据结构包括一段特定的标识码,随后是经过Zlib压缩的数据。要确定是否采用了Zlib压缩,我们可以通过观察数据流中的压缩头部标识来进行判定,一般而言,Zlib的头部标识为\x78\x9c。对样本进行抓包,可以看到拼接主机信息后的结构大致如下:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第19张图片

图4.3 上线包

样本归因

根据远控端pdb路径关联到的样本hash如表4.1所示:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第20张图片

表4.1 远控端 ioc

根据pdb路径关联到的payload如表4.2所示:

亚信安全捕获银狐木马控制端样本,揭晓最新发现_第21张图片

表4.2 payload ioc

综上,结合样本同源性的特征判断该样本属于银狐木马。

总结及处置建议

银狐作为恶意远控工具,通常将payload隐藏在各类常用软件的导入文件中,挂载到仿冒网站上,利用白加黑的方式进行加载,等待用户下载。

  • 建议全面部署亚信安全防病毒产品,并及时更新组件;

  • 由于银狐木马多采用内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关进程;

  • 银狐木马的攻击者可能会利用木马安装其他持久化组件,如xx终端安全管理系统,或其他远程软件;如确认非用户安装,请及时卸载和清理。

关于亚信安全威胁情报中心

亚信安全威胁情报中心:聚焦威胁情报研究,建立威胁情报运营能力,为产品提供联防联控和主动防御能力,提高安全威胁检测与响应能力。

你可能感兴趣的:(安全,apache,struts,java,web安全,gitlab)