請(qǐng)注意����,微信群聊再現(xiàn)“銀狐”病毒新變種——成都火絨
發(fā)布時(shí)間:2023-12-27 15:41
最近��,火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè)到�����,又有后門(mén)病毒偽裝成“企業(yè)補(bǔ)貼政策名單.msi”“12月稽查稅務(wù).msi”等誘導(dǎo)性文件在微信群聊中相互傳播����。用戶下載運(yùn)行該文件后,病毒會(huì)被激活并釋放多個(gè)惡意文件����,添加計(jì)劃任務(wù),遠(yuǎn)程控制受害者的終端等��,對(duì)用戶構(gòu)成較大的安全威脅�����。
用戶反饋情況
經(jīng)過(guò)火絨安全工程師確認(rèn)����,該后門(mén)病毒為“銀狐”木馬的新變種,具有更強(qiáng)的對(duì)抗性和隱蔽性����。溯源排查發(fā)現(xiàn),該類(lèi)病毒近期偽裝的相關(guān)文件名如下:
偽裝文件名
此前,火絨已披露“銀狐”木馬呈現(xiàn)變種增多趨勢(shì)��,且采取更多方式對(duì)抗安全軟件的查殺�。火絨工程師再次提醒大家時(shí)刻注意群聊中發(fā)送的陌生文件(后綴.msi/.rar/.exe/.chm/.bat/.vbs)��,如有必要先使用安全軟件掃描后再使用����。目前��,火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺��,請(qǐng)用戶及時(shí)更新病毒庫(kù)以進(jìn)行防御�。
查殺圖
一、樣本分析
第一階段:
以 "企業(yè)補(bǔ)貼政策名單.msi" 為例����,用戶雙擊該 msi 文件進(jìn)行安裝后其會(huì)執(zhí)行一系列相關(guān)進(jìn)程,其中以 "CNM.exe" 和 "erp.exe" 為執(zhí)行主體:
進(jìn)程執(zhí)行圖
病毒樣本會(huì)釋放多個(gè)文件在 "C:\Windows\HAHA" 目錄下�����,其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身���,是一個(gè)文件頭和主體分離的 16 進(jìn)制文本(分離用于免殺操作)���。樣本會(huì)通過(guò) bat 文件進(jìn)行拼接���,并繼續(xù)執(zhí)行拼接后的 "exe" 文件。
目錄相關(guān)文件
"CNM.exe" 內(nèi)部執(zhí)行過(guò)程中會(huì)加載同目錄下 "opl.txt"�����,后者是一個(gè)加密過(guò)的用于計(jì)劃任務(wù)的相關(guān)代碼文件����,解密算法如下所示:
opl.txt 相關(guān)
寫(xiě)入的計(jì)劃任務(wù)用戶啟動(dòng)下一階段的主體文件 "erp.exe",這是一個(gè)用于與 C2 進(jìn)行通信的關(guān)鍵文件:
寫(xiě)入的計(jì)劃任務(wù)
隨后樣本連接托管的服務(wù)器�,下載下一階段需要使用的 "libcurl.dll",這是一個(gè) "shellcode" 相關(guān)的加載器:
火絨劍執(zhí)行圖
第二階段:
erp.exe 是一個(gè)白文件��,樣本使用白加黑的方式規(guī)避殺軟查殺����。其會(huì)加載同目錄下 "libcurl.dll",后者會(huì)加載同目錄下 "xo.had" 進(jìn)行解密并作為回調(diào)函數(shù)加載執(zhí)行:
libcurl.dll 加載圖
解出來(lái)的代碼使用了包括代碼動(dòng)態(tài)生成及多層混淆等手段用于躲避查殺:
代碼縮略圖
在分析的過(guò)程中發(fā)現(xiàn)其在 "Services" 服務(wù)項(xiàng)中注冊(cè)了 "Rslmxp nnjkwaum" 目錄����,并設(shè)立 "ConnentGroup" 鍵,該健是用于統(tǒng)籌連接用的 C2 IP 及標(biāo)識(shí)相關(guān)進(jìn)程使用的。
注冊(cè)表設(shè)立
要連接的 "C2 IP" 是以硬編碼的方式存在于樣本中的��,"IP" 和前面設(shè)立注冊(cè)表項(xiàng)會(huì)拼接在一起����,創(chuàng)建一個(gè)標(biāo)識(shí)特定連接 IP 的互斥體:
互斥體創(chuàng)建
最后樣本會(huì)單獨(dú)開(kāi)啟線程進(jìn)行通信相關(guān)操作,連接建立后會(huì)在循環(huán)中監(jiān)聽(tīng)信息�����,后續(xù)操作均可以插件的形式下發(fā)����,以此進(jìn)行遠(yuǎn)控和保持配置更新:
通信相關(guān)操作
溯源分析:
值得注意的是�����,以 erp.exe 部分為主體的進(jìn)行區(qū)分��,該類(lèi)樣本早在 3 月份就被相關(guān)技術(shù)論壇發(fā)現(xiàn)及上傳��,后續(xù)發(fā)現(xiàn)的相關(guān)樣本都是其免殺對(duì)抗的升級(jí)版本:
VT 檢測(cè)圖
主體文件中 "erp.exe" 所使用的偽造的數(shù)字簽名和文件信息也在相關(guān)“銀狐”分析報(bào)告中被提及�,回顧整個(gè)攻擊的 "TTP" 和針對(duì)的人群(財(cái)務(wù)類(lèi)人員),種種證據(jù)表明這又是一起“銀狐”代表的攻擊事件:
相關(guān)偽造證書(shū)
二���、附錄
C&C:
HASH:
