首頁 > 關于我們 > 新聞動態 > 深度解讀

揭露“銀狐”真容,讓威脅無處遁形

發布時間 2024-08-08

編者按:


近期,啟明星辰北斗安全運營中心通過天闐威脅分析一體機(TAR)監測到一起 “(毒鼠)連接C2服務器”告警事件,第一時間與產品線進行溯源取證分析,確認源頭是某員工安裝了LetsVPN。經金睛團隊分析判定,該LetsVPN安裝包被捆綁了銀狐的WinOS 4.0遠控后門。本文將詳細揭露這一事件的始末,剖析其中的安全漏洞與風險,為企業網絡安全防護提供警示與借鑒。


何為“銀狐”?


銀狐木馬是一類針對特定目標群體進行釣魚攻擊的惡意軟件,其主要攻擊對象包括企事業單位的管理人員、財務人員、銷售人員、金融從業人員以及電商賣家等。這類木馬通過多種手段進行傳播,對受害者的計算機系統進行控制和竊取隱私數據,進而為后續的詐騙活動提供便利。

“銀狐”傳播方式


銀狐木馬主要通過以下幾種方式進行傳播:


1、即時通訊工具(IM)釣魚

攻擊者通過QQ、微信等即時通訊工具發送釣魚文件或網站鏈接,誘導受害者點擊并進行傳播。這些文件或鏈接通常會偽裝成具有誘導性的名稱,如“成績單”“轉賬通知單”等。


2、釣魚網站

攻擊者會偽造稅務機關、金融機構等官方網站的釣魚網站,使用微信釣魚等方式進行傳播。這些網站通常會以發票、單據、報稅、稅務軟件等名義誘導受害者下載并執行惡意軟件。


3、偽裝正常軟件

銀狐木馬還會偽裝成常用軟件,如WPS、MS Office、PDF、微信、釘釘等數十款軟件,通過在主流搜索引擎上購買流量進行釣魚傳播,這是目前傳播量最大的一種傳播方式。

樣本分析


從官網下載的安裝包lest-test.3.1.2.msi,被捆綁了銀狐WinOS 4.0遠控后門,官網鏈接:https://letpvpn.com。分析如下:


MSI文件,即Microsoft Installer的安裝包,專為Windows系統設計,用于安裝、卸載、修復及更新軟件。作為文件格式,它不由用戶直接執行,而是由系統的MS Installer服務(運行于SYSTEM賬戶)處理。這一機制不僅賦予操作管理員權限,還可能觸及SYSTEM最高權限,實現高效安全的軟件管理。


1、通過Orca工具,查看lest-test.3.1.2.msi安裝包文件。


圖片1.png


2、通過安裝包配置詳情明顯可以看出:安裝包里的文件“__4”被安裝保存為文件名“1”,“xQJnSaS.exe”被保存為文件名“XPsdjAV.exe”。


3、運行lest-test.3.1.2.msi安裝包之后,安裝釋放的文件。


圖片2.png


4、與Orca工具查看的詳情完全對應的上,其中“xQGEJun.exe”是真正的letsvpn安裝包,用來迷惑受害者。


技術原理


“XPsdjAV.exe”“libcurl.dll”和“1”是以白加黑形式運行的WinOS 4.0遠控。其中,“XPsdjAV.exe”本身是白文件,且有數字簽名?!發ibcurl.dll”是被篡改的惡意文件?!發ibcurl.dll”被“XPsdjAV.exe”加載執行后,讀取文件“1”,解密出WinOS 4.0的遠控核心代碼。

圖片3.png

這是一種典型的"白加黑"攻擊模式。在這種模式下,許多終端殺毒軟件會默認信任那些帶有有效數字簽名的程序,認為它們是安全的。然而,攻擊者可能會利用這種機制來實現所謂的"免殺"效果。

具體來說,攻擊者可能會使用一個帶有數字簽名且未被篡改的合法程序(例如"XPsdjAV.exe"),來欺騙殺毒軟件。然后,他們可能會修改該程序所依賴并調用的DLL文件(例如"libcurl.dll"),使得惡意的DLL文件被加載并執行。此外,攻擊者將核心的遠控代碼(例如WinOS 4.0)以加密形式保存在文件"1"中,這使得殺毒軟件難以檢測到其存在。


啟明星辰解決方案


1、高級威脅檢測規則


銀狐木馬攻擊手法雖多變,但均有跡可循,只要有攻擊就會有痕跡。TAR內置精準“狩狐”相關檢測規則,安全研究團隊緊密跟蹤最新攻擊手段,確保檢測規則精準監測。


2、高級沙箱檢出能力


設備內置多沙箱環境,涵蓋window、Linux等環境,采用靜態、漏洞、行為分析,內置反沙箱檢測機制,對反沙箱、反檢測等行為進行規避,全面監測樣本運行過程,深入發現銀狐木馬的威脅動作。


3、加密流量模型分析


設備嵌入AI算法模型,涵蓋ICMP、DNS、HTTP、HTTPS、Webshell隧道模型,以“機器學習、統計算法、威脅情報、深度包檢測”為技術底座,構建“流行為分析、域名分析、證書分析、包特征分析、握手信息分析”的多模型綜合決策體系。


4、天闐AI智能體賦能


天闐AI智能體以“智檢測,慧守護”為理念,依據不同檢測場景智能化調度各種檢測工具和算法,利用LLM推理總結能力對檢測結果“深加工”,大幅度提高檢測精準度和整體檢測性能,幫助安全人員更好地了解攻擊事件的本質、來源和潛在影響。


天闐威脅分析一體機(TAR)通過天闐AI智能體賦能的高級威脅檢測、惡意文件檢測、加密流量檢測等技術手段全面監測銀狐木馬,深入洞察潛在威脅,有效避免風險擴散,為客戶網絡筑起安全防線。

上一篇 下一篇