银狐黑产组织针对OKX数字货币交流群钓鱼攻击样本分析
字数 1367 2025-08-23 18:31:18

银狐黑产组织针对OKX数字货币交流群的钓鱼攻击样本分析教学文档

一、攻击背景与概述

  1. 攻击目标:欧易OKX官方中文数字货币交流群(成员近20万人)
  2. 攻击组织:银狐黑产组织
  3. 攻击方式:通过MSI安装程序进行钓鱼攻击
  4. 攻击目的:金融窃取(针对数字货币用户)

二、样本分析技术细节

1. 初始样本特征

  • 文件类型:MSI安装程序
  • 编译时间:2024年10月15日(Payload部分)

2. 安装过程分析

  1. 安装脚本调用链

    • CustomAction安装脚本
    • 调用DriveAstuteSupporterCSE安装脚本

  2. 安装脚本执行内容

    • 初始化文件名、调用参数和解压密码
    • 设置排除文件目录扫描(对抗Windows Defender)
    • 在指定目录生成恶意文件并通过参数调用
    • 执行后删除多余文件

3. 恶意文件生成

  • 生成多个恶意文件在指定目录
  • 创建相关进程执行恶意代码

4. 网络检测与参数解析

  • 执行前判断主机是否联网
  • 解析调用参数

5. ShellCode执行流程

  1. 内存分配空间
  2. 解密ShellCode并拷贝到分配的内存
  3. 跳转执行ShellCode代码
  4. ShellCode分配额外内存空间
  5. 解密ShellCode后面的Payload数据

6. Payload特征

  • 编译时间:2024年10月15日
  • 标识性导出函数:fuckyou(银狐木马变种特征)
  • 远程服务器IP:38.47.232.92
  • 威胁情报平台已标记相关域名为银狐木马

三、对抗技术分析

  1. 反检测技术

    • 设置排除文件目录扫描(专门针对Windows Defender)
    • 内存加载执行(减少文件落地)

  2. 免杀技术

    • 使用多层加密(ShellCode+Payload)
    • 动态解密执行
    • 定期更新样本(编译时间显示为近期)

  3. 持久化技术

    • 通过MSI安装程序实现持久化
    • 生成多个恶意文件相互调用

四、威胁情报关联

  1. 通过威胁情报平台可关联多个同批次样本
  2. 攻击手法与已知银狐变种基本一致
  3. 相关域名已被标记为恶意

五、防御建议

  1. 终端防护

    • 启用高级威胁防护功能
    • 监控MSI安装程序行为
    • 关注内存异常分配行为

  2. 用户教育

    • 警惕数字货币交流群中的文件分享
    • 不轻易下载和运行不明来源的安装程序

  3. 企业防护

    • 部署EDR解决方案监控可疑行为
    • 建立针对银狐木马的专项检测规则

  4. 威胁狩猎

    • 监控与38.47.232.92的通信
    • 关注包含"fuckyou"导出函数的样本

六、银狐黑产组织活动趋势

  1. 2023年活跃使用"银狐"黑客远控工具
  2. 2024年持续活跃并更新攻击样本
  3. 免杀对抗手法不断升级
  4. 主要针对金融/数字货币领域

七、技术要点总结

  1. 攻击链:MSI安装→脚本执行→文件生成→内存加载→ShellCode→Payload
  2. 关键特征:fuckyou导出函数、特定IP、多层加密
  3. 对抗手法:反杀软扫描、内存驻留、动态解密
  4. 关联情报:可通过编译时间、IP、域名等关联其他样本

八、分析工具建议

  1. MSI解析工具(如Orca、MSI Explorer)
  2. 反编译工具(IDA Pro、Ghidra)
  3. 行为分析工具(Process Monitor、Process Explorer)
  4. 网络分析工具(Wireshark、Fiddler)
  5. 威胁情报平台(VirusTotal、AlienVault等)
银狐黑产组织针对OKX数字货币交流群的钓鱼攻击样本分析教学文档 一、攻击背景与概述 攻击目标 :欧易OKX官方中文数字货币交流群(成员近20万人) 攻击组织 :银狐黑产组织 攻击方式 :通过MSI安装程序进行钓鱼攻击 攻击目的 :金融窃取(针对数字货币用户) 二、样本分析技术细节 1. 初始样本特征 文件类型:MSI安装程序 编译时间:2024年10月15日(Payload部分) 2. 安装过程分析 安装脚本调用链 : CustomAction安装脚本 调用DriveAstuteSupporterCSE安装脚本 安装脚本执行内容 : 初始化文件名、调用参数和解压密码 设置排除文件目录扫描(对抗Windows Defender) 在指定目录生成恶意文件并通过参数调用 执行后删除多余文件 3. 恶意文件生成 生成多个恶意文件在指定目录 创建相关进程执行恶意代码 4. 网络检测与参数解析 执行前判断主机是否联网 解析调用参数 5. ShellCode执行流程 内存分配空间 解密ShellCode并拷贝到分配的内存 跳转执行ShellCode代码 ShellCode分配额外内存空间 解密ShellCode后面的Payload数据 6. Payload特征 编译时间:2024年10月15日 标识性导出函数: fuckyou (银狐木马变种特征) 远程服务器IP:38.47.232.92 威胁情报平台已标记相关域名为银狐木马 三、对抗技术分析 反检测技术 : 设置排除文件目录扫描(专门针对Windows Defender) 内存加载执行(减少文件落地) 免杀技术 : 使用多层加密(ShellCode+Payload) 动态解密执行 定期更新样本(编译时间显示为近期) 持久化技术 : 通过MSI安装程序实现持久化 生成多个恶意文件相互调用 四、威胁情报关联 通过威胁情报平台可关联多个同批次样本 攻击手法与已知银狐变种基本一致 相关域名已被标记为恶意 五、防御建议 终端防护 : 启用高级威胁防护功能 监控MSI安装程序行为 关注内存异常分配行为 用户教育 : 警惕数字货币交流群中的文件分享 不轻易下载和运行不明来源的安装程序 企业防护 : 部署EDR解决方案监控可疑行为 建立针对银狐木马的专项检测规则 威胁狩猎 : 监控与38.47.232.92的通信 关注包含"fuckyou"导出函数的样本 六、银狐黑产组织活动趋势 2023年活跃使用"银狐"黑客远控工具 2024年持续活跃并更新攻击样本 免杀对抗手法不断升级 主要针对金融/数字货币领域 七、技术要点总结 攻击链:MSI安装→脚本执行→文件生成→内存加载→ShellCode→Payload 关键特征: fuckyou 导出函数、特定IP、多层加密 对抗手法:反杀软扫描、内存驻留、动态解密 关联情报:可通过编译时间、IP、域名等关联其他样本 八、分析工具建议 MSI解析工具(如Orca、MSI Explorer) 反编译工具(IDA Pro、Ghidra) 行为分析工具(Process Monitor、Process Explorer) 网络分析工具(Wireshark、Fiddler) 威胁情报平台(VirusTotal、AlienVault等)