前言
注:本项目为2026年1月底收尾,预期2026年2月发布,由于其中涉及的技术造成不可抗力的原因,故在今日发布。
2026年1月23日,Solar 应急响应团队接到客户求助,其内部安全运营中心(SOC)监测到终端触发“银狐”木马外联告警。经团队初步研判,确认该告警为真实攻击行为。
本次案例的排查难度显著提升。技术挑战在于: 当Solar应急响应团队介入时,攻击者已执行了部分“痕迹抹除”操作:浏览器历史记录被清空、原始下载的 Telegram 安装包已被删除。在缺乏原始样本、取证条件极其有限的情况下,团队通过对受害机器进行深度取证与逆向还原,最终完成了从外联告警到攻击全链路的闭环溯源。
接下来,我们将围绕 排查与行为分析、恶意程序逆向、病毒处置、复盘结论 四个维度,还原这场在有限条件下的应急实战。
本次应急响应技术侧流程图
一、 排查与行为分析
1.1 异常外联定位
根据告警情报,远控外联 IP 为 47.243.84.182。经威胁情报系统检索,该 IP 尚未被标记为已知黑产基础设施,极有可能是银狐团伙最新启用的 C2(控制服务器)节点(建议自查并加入至防火墙黑名单策略)。
威胁情报系统对异常 IP 的多维度检索结果
Solar 应急响应团队进入现场后,利用系统监控工具对网络连接进行实时过滤。如图所示,发现系统进程 tracerpt.exe 正在与目标 IP 的 1080 端口建立持续连接。
通过火绒剑监控发现系统合法进程 tracerpt.exe 存在异常网络行为
技术疑点分析:tracerpt.exe 是 Windows 原生的事件追踪日志转换工具。一个负责日志处理的系统工具为何会产生跨网段外联?基于实战经验,我们提出两种技术假设:
- 进程伪装: 恶意程序直接重命名为系统文件名,试图蒙混过关。
- 进程注入/白加黑: 恶意代码被注入到合法的
tracerpt.exe 内存空间中,借用系统白进程的身份绕过杀毒软件。
1.2 疑难取证:如何在无原始文件时提取样本?
在应急现场,常会遇到一种极端情况:恶意进程正在运行,但磁盘上的原始文件已被删除导致无法提取。此处涉及一个经典面试题:当异常进程表现为系统服务且无法直接获取样本时,如何进行静态分析?
经典应急响应面试题
其中之一的解决方案是利用 内存 Dump 与模块导出技术。以 X64dbg 为例,可以通过其集成的 Scylla 插件,在进程运行时强行将其内存中的模块(如 DLL 或 EXE)Dump 出来,还原成静态文件。
以管理员权限启动 X64dbg 准备进行内存模块抓取
通过 Scylla 功能插件定位目标进程的内存映射
定位并选中与外联行为相关的异常模块(DLL)
执行 Dump 操作,将内存中的恶意代码还原为物理文件
知识点解析:
- DLL 与 EXE 的关系: EXE 是程序的执行主体,而 DLL 是动态链接库。现代木马(如银狐)常采用“白加黑”架构,即一个合法的 EXE 加载一个恶意 DLL。
- 提取逻辑: 通过导出
tracerpt.exe 关联的异常 tracerpt.exe.dll,我们将其上传至沙箱检测,结果确证其具备银狐木马特征。
云沙箱静态分析报告证实提取的 DLL 具有高危银狐木马特征
1.3 深度取证:寻找被抹除的攻击足迹
明确了进程注入的事实后,下一步是寻找“注入源”。虽然浏览器历史被删,但 Windows 系统的底层取证痕迹依然存在。团队利用 Solar 专业取证工具,对 JumpList(跳转列表) 和 Prefetch(预读取文件) 进行了深度挖掘。
Solar 综合取证工具执行系统痕迹扫描
技术突破口: 通过分析 CustomDestinations 文件夹中的 JumpList 记录,发现在 2026 年 1 月 9 日,系统曾运行过一个名为 Telegram.exe 的程序(银狐常伪装主流通讯程序、应用程序进行传播)。
JumpList 视图还原了已删除程序的运行记录
证据显示伪装成 Telegram 的安装程序曾被执行
定位到Telegram程序的关键触发时间点
Prefetch(.pf)文件视图证实了程序加载顺序
知识点补全:
- CustomDestinations: 位于
%AppData%\...\Recent\CustomDestinations,记录了用户最近的操作习惯,即使原始文件被删,这里依然保存着执行记录。
- .pf 文件: 预读取文件记录了程序启动时加载的模块和时间,是判断程序是否存在及运行次数的关键证据。
结合 SRUM(系统资源利用率报告) 和 MFT(主文件表) 日志,我们精准还原了攻击者的投毒路径:用户于 1 月 9 日在非官方渠道下载了名为 TelegramInst_setup_x64_250106.exe 的压缩包并执行。
SRUM 数据显示 msedge 进程在关键时间段存在大量异常下行流量
SRUM 流量 IO 统计记录
利用 Timsina Explorer 深度解析 MFT 日志中的文件创建记录
1.4 伪装细节识别
在系统日志中,我们发现该“Telegram”安装程序漏洞百出:拼写为 Teleram(缺少 'g'),且开发者签名为 NfHRRPGENKQJ,而非官方的 Telegram FZ-LLC。
Windows 事件日志捕捉到的异常安装记录
由于签名及包名低级错误导致的异常标识
在安装过程中,样本释放了一个名为 OTGContainer.exe 的关键组件。该程序伪装成“微软视窗图像升级助手”,实则具备持久化特征。
系统日志追踪到 OTGContainer.exe 的释放行为
可疑组件 OTGContainer.exe 被定位
我们通过 PowerShell 脚本对系统服务进行异常筛查,重点扫描位于 AppData 等非系统目录下的自启动服务。
# 筛选路径异常的系统服务
Get-WmiObject Win32_Service | Where-Object { $_.PathName -match "ProgramData|AppData|Temp" } | Select-Object Name, DisplayName, PathName, State
通过脚本筛选出路径异常的服务 Zowie951d475sbs
经查,该服务指向的正是 OTGContainer.exe。尽管沙箱对该单个白文件未报错,但结合其所处环境,基本判定其为“白加黑”中的“白载体”。
微步云沙箱运行结果
二、 恶意程序逆向分析
2.1 文件信息梳理
| 组件角色 |
文件名 |
功能描述 |
MD5 指纹 |
| 白载体 |
OTGContainer.exe |
正常签名程序,用于加载恶意 DLL |
dd9c53633660213eb7d8cca3c2add9bb |
| 恶意 DLL |
libcurl.dll |
劫持核心,负责解密并注入 Shellcode |
6d0129128c6ee34a66a56afbb2a45bc7 |
| 注入器 |
FFLOADER.exe |
最终实现对 tracerpt.exe 的注入 |
a0fd0e9190330729f5896b3900d2250b |
| 加密 Payload |
rbg |
存放加密后的恶意 Shellcode 数据 |
31f731866d1e6244bfc64daab4f89491 |
恶意程序攻击流程图
2.2 逆向过程还原
1.OTGContainer.exe静态分析与加载逻辑:**OTGContainer.exe 是一个拥有合法数字签名的白程序。通过对该程序的导入表进行静态分析发现,其在启动过程中会静态加载同目录下的 libcurl.dll。这是一种典型的 DLL 劫持(DLL Hijacking)** 技术手段。
OTGContainer.exe(正常签名程序)
在调试环境中,可以清晰观测到该白程序启动后立即加载了位于非系统目录下的恶意 DLL 模块。
WOW64 process has been detected (pid=4224)
8C0000: process C:\Users\Admin\Desktop\VGX\OTGContainer.exe has started (pid=4224)
77310000: loaded C:\Windows\SysWOW64\ntdll.dll
77300000: loaded C:\Windows\System32\wow64cpu.dll
759C0000: loaded C:\Windows\SysWOW64\KERNEL32.DLL
75AB0000: loaded C:\Windows\SysWOW64\KERNELBASE.dll
77160000: loaded C:\Windows\SysWOW64\USER32.dll
75E10000: loaded C:\Windows\SysWOW64\win32u.dll
75D00000: loaded C:\Windows\SysWOW64\GDI32.dll
76550000: loaded C:\Windows\SysWOW64\gdi32full.dll
76880000: loaded C:\Windows\SysWOW64\msvcp_win.dll
75230000: loaded C:\Windows\SysWOW64\ucrtbase.dll
75180000: loaded C:\Windows\SysWOW64\ADVAPI32.dll
77040000: loaded C:\Windows\SysWOW64\msvcrt.dll
77345A30: thread has started (tid=2496)
749E0000: loaded C:\Users\Admin\Desktop\VGX\libcurl.dll
73FF0000: loaded C:\Windows\SysWOW64\MFPlat.DLL
16C0000: loaded C:\Windows\SysWOW64\sechost.dll
Unloaded C:\Windows\SysWOW64\sechost.dll
75F10000: loaded C:\Windows\SysWOW64\cfgmgr32.dll
75930000: loaded C:\Windows\SysWOW64\shcore.dll
753C0000: loaded C:\Windows\SysWOW64\combase.dll
75F50000: loaded C:\Windows\SysWOW64\RPCRT4.dll
74950000: loaded C:\Windows\SysWOW64\MF.dll
74920000: loaded C:\Users\Admin\Desktop\VGX\bfcipc.dll
745F0000: loaded C:\Windows\SysWOW64\MFReadWrite.dll
748F0000: loaded C:\Windows\SysWOW64\dwmapi.dll
77345A30: thread has started (tid=8080)
74480000: loaded C:\Windows\SysWOW64\WINSPOOL.DRV
745E0000: loaded C:\Windows\SysWOW64\MSIMG32.dll
76450000: loaded C:\Windows\SysWOW64\sechost.dll
75200000: loaded C:\Windows\SysWOW64\bcrypt.dll
76A60000: loaded C:\Windows\SysWOW64\SHELL32.dll
73DE0000: loaded C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.19041.5915_none_a861f0a88675f0cd\COMCTL32.dll
76640000: loaded C:\Windows\SysWOW64\SHLWAPI.dll
756D0000: loaded C:\Windows\SysWOW64\ole32.dll
74400000: loaded C:\Windows\SysWOW64\UxTheme.dll
76690000: loaded C:\Windows\SysWOW64\OLEAUT32.dll
73C70000: loaded C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.19041.5915_none_d94ce38de1086a9b\gdiplus.dll
75DE0000: loaded C:\Windows\SysWOW64\IMM32.dll
745B0000: loaded C:\Windows\SysWOW64\oledlg.dll
73810000: loaded C:\Windows\SysWOW64\WININET.dll
743D0000: loaded C:\Windows\SysWOW64\WINMM.dll
73660000: loaded C:\Windows\SysWOW64\dbghelp.dll
73620000: loaded C:\Windows\SysWOW64\IPHLPAPI.DLL
73550000: loaded C:\Windows\SysWOW64\dxgi.dll
748C0000: loaded C:\Windows\SysWOW64\VERSION.dll
734F0000: loaded C:\Windows\SysWOW64\OLEACC.dll
748B0000: loaded C:\Windows\SysWOW64\WTSAPI32.dll
73190000: loaded C:\Windows\SysWOW64\MFCORE.DLL
76960000: loaded C:\Windows\SysWOW64\CRYPT32.dll
73140000: loaded C:\Windows\SysWOW64\powrprof.dll
743C0000: loaded C:\Windows\SysWOW64\ksuser.dll
746B0000: loaded C:\Windows\SysWOW64\kernel.appcore.dll
73030000: loaded C:\Windows\SysWOW64\mfperfhelper.dll
73000000: loaded C:\Windows\SysWOW64\dbgcore.DLL
74A20000: loaded C:\Windows\SysWOW64\CRYPTBASE.DLL
76730000: loaded C:\Windows\SysWOW64\bcryptPrimitives.dll
72FD0000: loaded C:\Windows\SysWOW64\RTWorkQ.DLL
743B0000: loaded C:\Windows\SysWOW64\UMPDC.dll
PDBSRC: loading symbols for 'C:\Users\Admin\Desktop\VGX\OTGContainer.exe'...
此外,该程序具备特定的环境检测功能:它会主动检索当前路径下是否存在 ffloader.exe。若检测命中,则会调用内部函数 Sub_486850(功能定义为 LaunchFFLOADER)。经逆向确认,该函数通过调用 Windows 标准 API ShellExecuteExW 来拉起注入程序,且整个过程未触发 UAC 提权,隐蔽性极强。
逆向分析 Sub_486850 函数调用 ShellExecuteExW 的逻辑实现
2.libcurl.dll 入口点(DllMain)深度解析:对劫持 DLL libcurl.dll 的入口点进行动态调试。分析发现,其核心恶意行为在于读取同目录下的加密数据文件 rbg。
构造新的可执行文件路径
恶意代码加载 rbg 后,会执行一段自定义的解密算法,并将解密后的原始 Shellcode 数据流重定向写入到 FFLOADER.exe 进程空间中。
对目标文件进行读取、处理,并多次计算摘要
解密后的 Payload 数据被准备写入 FFLOADER.exe
3.FFLOADER.exe 注入行为分析:通过现场取证分析,发现该样本在执行过程中存在自毁或损坏迹象。解密出的 Payload 结果中,仅起始位置的 0x1000 字节为有效指令代码,其后半部分已全部被 0x00 填充。由于核心 Payload 数据的缺失,导致后续的完整功能逆向受阻,这也侧面反映了该银狐变种可能具备一定的反分析机制。
样本执行过程存在损坏迹象
2.3 收尾排查:全路径证据链闭环
基于上述逆向结论,我们对系统进行了最终的复核排查。整条攻击链路已清晰浮现:
- 持久化层: 恶意服务
Zowieg951d475sbs 确保 OTGContainer.exe 开机自启。
- 执行层:
OTGContainer.exe 通过 DLL 劫持释放并拉起 ffloader.exe。
- 注入层:
ffloader.exe 最终将恶意 Shellcode 注入到系统合规程序 tracerpt.exe 中(外联 IP:47.243.84.182:1080)。
追踪发现,在 2026 年 1 月 13 日 8:10 左右,受害机器上被注入后的 tracerpt.exe 出现了多次异常启动记录,这与前文提到的告警时间线完全吻合。
系统日志显示受感染的 tracerpt.exe 在 13 日存在高频异常启动
通过注册表分析,我们定位到了拉起“微软视窗图像升级助手”的恶意服务配置项。
注册表键值 HKLM\SYSTEM\CurrentControlSet\Services 下的恶意服务配置
系统日志记录了恶意服务 Zowieg951d475sbs 的启动行为
同时,在 OTGContainer.log 本地日志中,也成功提取到了该恶意组件运行时的各项行为轨迹。
OTGContainer.log 内部记录的组件加载与执行轨迹
三、 总结
结合全量取证日志分析,Solar 团队复盘了该次受害全过程: 用户于 2026年1月9日在使用 Edge 浏览器期间,被诱导下载了伪装成 Telegram 安装包的压缩文件。该样本利用“白加黑”架构绕过常规杀软监测,通过多级释放与进程注入技术,将恶意远控模块寄生在系统白进程 tracerpt.exe 中,最终实现了长达数日的潜伏外联。
四、 威胁处置建议
1. 彻底清除服务项: 以管理员权限启动 CMD 或 PowerShell,执行以下命令强制删除恶意驻留服务:
sc delete Zowieg951d475sbs
2. 恶意文件深度清理: 重启计算机以断开现有的内存注入连接,随后手动删除以下受污染路径:
C:\Users\XXX\AppData\Roaming\A8BB951EEB9A4CBBB612E19E9E3A5702\VGX
3. 行为监测与复核: 利用网络工具确认是否仍存在 1080 端口的外联:
netstat -ano | findstr 47.243.84.182:1080
再次核查服务状态,确保清除彻底:
sc qc Zowieg951d475sbs
五、 附录:IOC 威胁情报指纹
| 目标名称 |
MD5 |
SHA256 |
| OTGContainer.exe |
dd9c53633660213eb7d8cca3c2add9bb |
7f3711bf1fa9a0917c0932a21305ce90fcca8c9ebd98a496ac7a35ba197e7495 |
| tracerpt.exe.dll |
46475782db21f886ef941b1dc01cbf16 |
506c7692c71856cbc7cc17091e117b0c45da0d44c84c456b9494ca81b877ba71 |
| libcurl.dll |
6d0129128c6ee34a66a56afbb2a45bc7 |
0a68181a1419c444cae3f76f474472c0397782b02e4c4bd8d56dcf5626e4526c |
| FFLOADER.exe |
a0fd0e9190330729f5896b3900d2250b |
12400581583a1faef1fbcf223775939cc468a1a27ea346261278cb14cfe40a15 |
| rbg (Payload) |
31f731866d1e6244bfc64daab4f89491 |
4eaedd9bc5de9c64b8a173c9093f7fa3d4d82e863f347d51314c8b8042cbbf40 |
恶意 C2 IP: 47.243.84.182