银狐黑产组织最新攻击样本分析报告

银狐黑产组织最新攻击样本分析报告 一、概述 银狐(SilverFox)黑产组织近期更新了其攻击样本，采用MSC文件作为传播载体，通过多层编码和混淆技术实现攻击。本报告详细分析该攻击链的各个阶段，揭示其技术特点和防御方法。 二、攻击链分析 1. 初始感染阶段 载体文件 ：MSC文件（Microsoft Management Console保存的控制台文件） 特点 ： 内嵌恶意JS脚本 利用MSC文件的合法特性绕过基础防御 2. 第一阶段载荷 下载行为 ： 从网络下载 0day.xsl 文件并加载执行 XSL文件包含两个编码的stage数据 技术细节 ： Stage_ 1：初始解码器 Stage_ 2：包含主要Payload 3. Payload分析 文件操作 ： 创建特定目录结构 拷贝相关文件到指定目录 创建计划任务实现持久化 网络行为 ： 从远程服务器下载文件到指定目录 下载Py.zip文件并解压到特定目录 4. PowerShell阶段 操作流程 ： 重命名目录下特定文件 通过PowerShell进程从远程服务器下载恶意脚本(ps1.txt) 执行下载的恶意脚本 脚本分析 ： 多层编码和混淆 最终解码出ShellCode 5. ShellCode特征 识别特征 ： 尾部包含银狐组织特有标记 连接C2服务器：118.107.42.233 使用异或加密通信数据 解密过程 ： 接收加密数据 异或解密 解密后得到Payload变种 6. 第二阶段载荷 执行流程 ： Wd.exe调用AutoHotkey脚本(wd.ahk) 使用Bandizip解压Code.7z（密码：403team.） 通过Python执行恶意脚本Code.jpg 网络行为 ： 从hxxp://comc0m.com/dan/118.107.42.233.bin下载ShellCode 内存加载执行ShellCode 执行后删除Code.jpg脚本 7. 最终Payload 特点 ： 内存中加载执行 包含银狐样本的C2配置信息 与之前变种样本功能一致 三、技术特点总结 多阶段加载 ：至少7个阶段的加载过程，每阶段功能独立 混淆技术 ：JS脚本、ShellCode多层编码和加密 持久化 ：计划任务、文件替换、自启动项 工具滥用 ：合法工具滥用（MSC、PowerShell、Python、Bandizip等） 网络通信 ：加密C2通信，多服务器备用 四、防御建议 1. 检测层面 监控异常MSC文件执行行为 检测PowerShell异常下载和执行行为 关注Bandizip解压后立即执行Python的行为 监控对118.107.42.233和comc0m.com的访问 2. 防护层面 限制PowerShell执行远程脚本 控制管理工具(MSC)的执行权限 部署异或加密流量检测能力 阻断已知C2域名和IP 3. 响应层面 检查计划任务中可疑项 搜索系统中残留的wd.ahk、Code.7z等文件 检查Python异常执行记录 五、IoC指标 文件相关 ： 文件类型：恶意MSC、0day.xsl、ps1.txt、Code.7z、Code.jpg 解压密码：403team. 目录结构：参考样本创建的特定目录 网络相关 ： C2 IP：118.107.42.233 下载URL：hxxp://comc0m.com/dan/118.107.42.233.bin 工具相关 ： 涉及工具：Bandizip.exe、AutoHotkey、Python 六、总结 银狐组织持续更新攻击样本，展现出高度的对抗能力。本次攻击通过MSC文件传播，利用多阶段加载和合法工具滥用绕过检测，最终部署远控Payload。防御方需关注多阶段攻击的每个环节，建立纵深防御体系。