本帖最后由 神奇的人鱼 于 2025-12-25 14:15 编辑
“银狐”病毒伪装安装包分析:从简单封装到NSIS脚本化投递
背景概述
近一年来,“银狐”远控木马(Silver Fox RAT)在国内持续活跃,广泛针对政府、医疗、教育、金融等关键行业,攻击手法不断演进。其初始感染阶段高度依赖社会工程学,常通过伪造官方网站、冒充知名软件(如搜狗输入法、驱动程序、办公工具等)诱导用户下载并执行恶意安装包。
在实际攻防对抗中,我们捕获到多起“银狐”病毒通过伪装安装包投递的案例。这些安装包表面看似合法,实则内嵌恶意载荷,利用不同封装技术实现隐蔽投递与持久化控制。本文将重点剖析两类典型样本:MSI 简单封装型与NSIS 脚本化多阶段投递型,揭示其构造逻辑与攻击链。
一、MSI 简单封装:白加黑运行
1.1 样本特征
- 文件格式:
.msi(Windows Installer 安装包)
- 文件名:如
WPS_office-4184.msi,模仿WPS办公软件
- 诱饵行为:安装界面与官方高度相似,安装后可正常运行输入法,具有强欺骗性
1.2 技术分析
使用 Orca(微软官方 MSI 编辑工具)打开样本,可观察到自定义安装动作(Custom Action)中包含一条可疑指令:
EnforcedRunAsAdmin /DontWait "[#lon.exe]"
强制以管理员权限执行。
- 额外载荷:该 DLL 还会尝试加载同目录下的
t.jpg 文件——看似图片,实为经过 Base64 或 XOR 加密的配置或第二阶段载荷。
注:这种“合法 EXE + 恶意同名 DLL”模式是典型的 “白加黑”攻击(White+Black),利用系统 DLL 搜索顺序劫持执行流,绕过静态检测。
1.3 防御难点
- 无直接恶意进程,主程序为可信白文件;
- DLL 无数字签名,但路径隐蔽,常被忽略;
- 利用 MSI 安装机制自动提权,用户无感知。
二、NSIS 脚本化封装:多阶段解密 + 白加黑持久化
2.1 样本特征
- 文件格式:
.exe(NSIS 打包)
- 文件名:
sogou_guanwang_x64.1.2.exe
- 可通过 7-Zip 或魔改版解包工具(如 nsis-decompiler)直接提取内容
2.2 内容结构
解包后可见:
- 真实的搜狗拼音安装程序(
sogou_pinyin_guanwang_15.3a.exe)——用于维持“正常安装”假象;
- 多个加密载荷文件:
lic.dat、Profilerjson、GPUCachexml、Auto.dat 等;
- 自定义插件:
DcryptDll.dll(解密模块)、nsExec.dll(命令执行模块)
2.3 攻击流程(基于脚本逆向)
-
防御绕过
动态拼接并执行 PowerShell 命令:
powershell.exe -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath C:\,D:\,E:\,F:\"
将系统盘加入 Windows Defender 排除列表,为后续载荷落地创造“安全区”。
-
多阶段解密投递
使用 DcryptDll::Decrypt 插件,以 temp_k.txt 为密钥,依次解密:
lic.dat → %LOCALAPPDATA%\Verifier.exe(第一阶段后门)Auto.dat → %APPDATA%\Embarcadero\AutoRecoverDat.dll(核心远控模块)
-
白加黑持久化
- 释放恶意 DLL 到
%APPDATA%\Embarcadero\ 目录(模仿 Delphi 开发环境缓存路径,增强隐蔽性);
- 通过
rundll32.exe AutoRecoverDat.dll,DllRegisterServer 启动;
- 利用合法系统进程
rundll32.exe 加载恶意代码,规避进程行为监控。
-
用户欺骗
- 最终仍安装真实搜狗输入法,并在桌面创建快捷方式,确保受害者无异常感知。
2.4 技术特点
- 脚本化逻辑:NSIS 脚本支持条件判断、Sleep 延迟、注册表写入(如
HKCU\Software\MicrosoftUser\Source=sogou),具备反沙箱能力;
- 加密分离:载荷与解密器分离,增加静态分析难度;
- 路径伪装:利用
Embarcadero、GPUCache.xml 等看似合法的文件名与路径,降低可疑度。
对比与演进趋势
| 特征 |
MSI 简单封装 |
NSIS 脚本化投递 |
| 封装复杂度 |
低(直接嵌入文件) |
高(脚本控制 + 插件解密) |
| 载荷释放方式 |
安装时释放,直接执行 |
多阶段解密,延迟执行 |
| 白加黑实现 |
DLL 劫持(同目录加载) |
rundll32 + 伪装路径加载 |
| 反检测能力 |
弱(依赖白文件) |
强(绕过 Defender + Sleep + 路径伪装) |
| 用户欺骗性 |
中(仅模仿安装) |
高(完整安装真实软件 + 桌面快捷方式) |
可见,“银狐”攻击者正从简单捆绑向工程化投递演进,逐步融合脚本自动化、加密混淆、系统机制滥用等技术,提升隐蔽性与成功率。
防护建议
-
终端侧
- 禁止非官方渠道软件安装,尤其警惕
.msi / .exe 来源不明的“输入法”“办公软件”;
- 启用 EDR,监控
rundll32.exe 加载非系统 DLL、异常注册表写入(如 MicrosoftUser);
- 限制 MSI 安装包的自定义动作(Custom Action)执行权限。
-
网络侧
- 检测
Verifier.exe、AutoRecoverDat.dll 等银狐载荷的 C2 通信特征(如固定 URI、心跳包);
- 阻断伪造搜狗、腾讯等官网的钓鱼域名。
-
分析侧
- 对 NSIS 安装包优先使用 7-Zip 解包,关注
*.dll、*.dat 等非标准资源;
- 对 MSI 使用 Orca 检查
CustomAction 和 Binary 表;
- 动态监控进程加载链,识别
白+黑 行为(如合法 EXE 加载同目录非系统 DLL)。
ioc
| 文件名 |
SHA1 |
| WPS_office-4184.msi |
99d6a86247a2a6eff9c31725d714f9c944922904 |
| sogou_guanwang_x64.1.2.exe |
3625b28b521d096f39dbfad71226f10d44f78719 |
结语
“银狐”病毒通过不断升级安装包投递技术,已从早期的简单捆绑发展为高度工程化的脚本化攻击体系。其核心思路始终围绕 “伪装 + 绕过 + 持久化” 三大目标。唯有结合终端行为监控、网络流量分析与用户安全意识提升,方能有效阻断此类高隐蔽性威胁。 | 
[复制链接]
发表于 2025-12-25 15:51
分享到朋友圈
