伪装成Chrome安装程序传播银狐最新变种
字数 1283 2025-08-22 12:23:06

银狐恶意软件变种分析教学文档

一、样本概述

  • 伪装形式:样本伪装成Chrome浏览器的MSI安装程序
  • 传播方式:通过伪装的正规软件安装包传播
  • 恶意模块特征
    • 使用"增肥"技术(在DATA段加入大量垃圾数据)
    • 带有无效数字签名
    • 模块大小达200MB-400MB

二、技术分析

1. 初始感染阶段

  1. MSI安装程序分析

    • 包含CustomAction安装脚本
    • 调用恶意模块的导出函数exitzi

  2. 文件释放

    • 在指定目录生成压缩包文件
    • 使用密码保护压缩包

2. 反检测技术

  1. 反虚拟机技术

    • 通过遍历进程信息检测虚拟机环境

  2. 规避技术

    • 无效数字签名
    • 文件增肥(200MB+大小)
    • 白+黑技术(利用合法程序加载恶意模块)

3. ShellCode注入技术

  1. 进程注入

    • 检查hh.exe进程是否存在
    • 如不存在则启动hh.exe进程
    • 读取view.png图片内容
    • 将ShellCode注入到hh.exe进程

  2. 多阶段注入

    • 检查aut.txt文件存在性
    • 读取aut.png图片中的ShellCode并执行

4. ShellCode分析

  1. view.png中的ShellCode

    • 分配内存空间
    • 拷贝加密数据到内存
    • 解密数据(编译时间2024年12月13日)
    • 解密后为银狐变种样本
    • 包含C2域名信息

  2. aut.png中的ShellCode

    • 使用开源注入工具
    • 将ShellCode注入到explorer.exe进程
    • 包含PDB信息
    • 最终解密出Payload

5. Payload功能

  1. 持久化机制

    • 查询注册表项
    • 设置快捷方式
    • 设置自启动注册表项

  2. C2通信

    • 解析C2配置信息
    • 与之前银狐样本类似

三、攻击流程总结

  1. 伪装成Chrome安装程序
  2. 释放恶意模块(增肥+无效签名)
  3. 反虚拟机检测
  4. 解密并执行多阶段ShellCode
  5. 进程注入(hh.exe和explorer.exe)
  6. 最终Payload执行(银狐变种)
  7. 建立持久化和C2通信

四、防御建议

  1. 检测方面

    • 监控异常大的可执行文件
    • 检测无效数字签名
    • 关注MSI安装包中的CustomAction

  2. 防护方面

    • 阻止可疑的进程注入行为
    • 监控explorer.exe等系统进程的异常行为
    • 限制PNG等非可执行文件的代码执行

  3. 响应方面

    • 检查C:\users\public\downloads\目录下的可疑文件
    • 监控自启动注册表项变更
    • 关注已知银狐C2域名

五、IoC指标

  1. 文件特征

    • 异常大的可执行文件(200MB+)
    • 带有无效数字签名的模块
    • 包含view.pngaut.png的压缩包

  2. 行为特征

    • hh.exe进程的异常启动
    • explorer.exe进程的代码注入
    • 注册表自启动项修改

  3. 网络特征

    • 银狐变种的C2域名通信

六、技术亮点

  1. 多阶段加载:通过多个ShellCode阶段逐步解密最终Payload
  2. 隐蔽技术:结合增肥、无效签名、白+黑等多种规避手段
  3. 注入技术:利用系统进程和开源工具实现代码注入
  4. 数据隐藏:将ShellCode隐藏在PNG图片中
银狐恶意软件变种分析教学文档 一、样本概述 伪装形式 :样本伪装成Chrome浏览器的MSI安装程序 传播方式 :通过伪装的正规软件安装包传播 恶意模块特征 : 使用"增肥"技术(在DATA段加入大量垃圾数据) 带有无效数字签名 模块大小达200MB-400MB 二、技术分析 1. 初始感染阶段 MSI安装程序分析 : 包含CustomAction安装脚本 调用恶意模块的导出函数 exitzi 文件释放 : 在指定目录生成压缩包文件 使用密码保护压缩包 2. 反检测技术 反虚拟机技术 : 通过遍历进程信息检测虚拟机环境 规避技术 : 无效数字签名 文件增肥(200MB+大小) 白+黑技术(利用合法程序加载恶意模块) 3. ShellCode注入技术 进程注入 : 检查 hh.exe 进程是否存在 如不存在则启动 hh.exe 进程 读取 view.png 图片内容 将ShellCode注入到 hh.exe 进程 多阶段注入 : 检查 aut.txt 文件存在性 读取 aut.png 图片中的ShellCode并执行 4. ShellCode分析 view.png中的ShellCode : 分配内存空间 拷贝加密数据到内存 解密数据(编译时间2024年12月13日) 解密后为银狐变种样本 包含C2域名信息 aut.png中的ShellCode : 使用开源注入工具 将ShellCode注入到 explorer.exe 进程 包含PDB信息 最终解密出Payload 5. Payload功能 持久化机制 : 查询注册表项 设置快捷方式 设置自启动注册表项 C2通信 : 解析C2配置信息 与之前银狐样本类似 三、攻击流程总结 伪装成Chrome安装程序 释放恶意模块(增肥+无效签名) 反虚拟机检测 解密并执行多阶段ShellCode 进程注入(hh.exe和explorer.exe) 最终Payload执行(银狐变种) 建立持久化和C2通信 四、防御建议 检测方面 : 监控异常大的可执行文件 检测无效数字签名 关注MSI安装包中的CustomAction 防护方面 : 阻止可疑的进程注入行为 监控explorer.exe等系统进程的异常行为 限制PNG等非可执行文件的代码执行 响应方面 : 检查 C:\users\public\downloads\ 目录下的可疑文件 监控自启动注册表项变更 关注已知银狐C2域名 五、IoC指标 文件特征 : 异常大的可执行文件(200MB+) 带有无效数字签名的模块 包含 view.png 和 aut.png 的压缩包 行为特征 : hh.exe进程的异常启动 explorer.exe进程的代码注入 注册表自启动项修改 网络特征 : 银狐变种的C2域名通信 六、技术亮点 多阶段加载 :通过多个ShellCode阶段逐步解密最终Payload 隐蔽技术 :结合增肥、无效签名、白+黑等多种规避手段 注入技术 :利用系统进程和开源工具实现代码注入 数据隐藏 :将ShellCode隐藏在PNG图片中