近期,火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现,该样本通过阿里云存储桶下发恶意文件,采用AppDomainManager进行白利用,并借助Python执行恶意脚本下发Go语言后门,最终实现对电脑的后门权限长期维持控制。目前,火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力,能够及时识别和阻止恶意代码在内存中的执行,从而保护用户系统的安全。
Image-0.png (34.96 KB, 下载次数: 0)
下载附件6 分钟前 上传
查杀图
一、银狐再升级 历经两年的持续演进,银狐组织(SilverFox)采用的后门程序已从早期的Gh0st、Win0s等传统RAT,发展成了多语言混合版本。 本次捕获的样本采用了Go语言编写,具备信息窃取、命令执行等基础恶意功能。值得注意的是,银狐组织的对抗技术也进行了显著升级:对此次样本的进程链进行分析发现,攻击者已经摒弃了早期依赖内存加载PE文件的方式,而是转用一种"白文件+脚本"的新型利用链——即利用合法XML文件配合Python脚本实施攻击。这种技术演进使得整个攻击过程中无需加载任何恶意PE文件(无任何黑DLL,全文本攻击),能够有效规避基于ATT&CK矩阵的常规检测手段,最终成功实现Go语言后门的持久化驻留。 而在溯源过程中发现,银狐组织已经能够通过单台服务器实现对上千台终端设备的控制。这些受控设备主要集中在财务、国企、政府等部门。银狐组织利用这些设备,通过企业微信、钉钉等即时通讯平台进一步下发信息,实施诈骗。 银狐
二、样本分析 样本执行流程图如下: 样本流程图
该样本伪装成谷歌浏览器升级程序,并构造过期签名实施钓鱼攻击。 伪造程序
其采用火山软件开发平台(易语言x64版本)进行编写,恶意代码被编译在加密库函数中。 火山远控
该恶意代码会判断进程名称是否为ngjklr1333.exe,如果不匹配则不执行恶意代码。 名称判断
之后,样本生成目录C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因为KeePass.exe是样本后期采用的白利用程序之一,所以样本会先判断环境中是否已经存在KeePass进程,若存在的话,则通过命令行结束taskkill /IM KeePass.exe /F进程。 随后,通过阿里云存储桶获取Python安装包,并构造解压命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。 文件下载
Microsoft.XMLHTTP
下载恶意利用文件 KeePass
KeePass.exe是一款开源的密码管理器,在该样本中被用作白利用程序。其通过附带的KeePass.exe.config配置文件实现AppDomainManager注入。 在.NET Framework中,exe.config文件通常被称为“配置文件”,该文件包含控制应用程序行为的信息。部分系统程序集(如System.Xml,System.Data,mscorlib等)的版本号会随着.NET Framework的升级而更新。 该样本解压出的KeePass.exe.config配置文件利用<dependentAssembly>元素实现版本从2.0.9.0-2.57.1.0重定向至2.57.1.16889,从而确保其恶意配置xml文件能够顺利加载。 KeePass.exe.config
KeePass.config.xml配置文件定义了版本号2.57.1.16889,并具备控制KeePass启动行为、语言设置、插件兼容、界面布局、触发器自动操作等行为。其中的触发器(Trigger)设置为自动执行,该触发器触发时,会从远程地址下载恶意代码并解密执行。 KeePass.config.xml
恶意代码会利用第一阶段下载的Python文件,通过Python代码实现异或与base64解密,进而自动执行解密后的恶意代码。 Python代码
解密后的代码是一个后门Python脚本,它会下载伪装成图片的远程恶意可执行文件,并在系统中创建多个具有计划触发功能和高权限(SYSTEM/Administrators)的计划任务,以实现后门持久化。它还会利用注册表和系统任务文件清除机制来隐藏计划任务: task1 下载Go后门 task2 创建计划任务 task3 计划任务结束KeePass hidden_task 修改注册表隐藏计划任务
下载后门 创建计划任务 计划任务结束KeePass 隐藏计划任务
tmux.jpg是一个Go后门木马文件,通过WebSocket进行通信。该木马首先会收集电脑信息和杀软环境信息。 获取电脑基本信息
之后,通过WebSocket与C2服务器进行通信(C2服务器地址为fourier.ali-cloud.top:8055)。 C2配置
分析发现,该后门具有以下功能。 后门功能
0x3 CMD/Shell命令。 CMD/Shell命令
0x4 屏幕截图、获取浏览器数据。 屏幕截图、获取浏览器数据
0x6 代理功能。 代理功能
0x7 获取Telegram密钥。 备份Telegram
0x8 获取getxshell密钥。 获取getxshell 密钥
0xB 文件搜索。 文件搜索
0xC 上传文件。 上传文件
0xD 删除文件。 删除文件
0xE 下载文件。 下载文件
三、附录 C&C:
HASH: | 
[复制链接]
发表于 2025-8-1 18:19
