银狐黑产组织最新攻击样本详细分析
字数 1488 2025-08-24 23:51:09

银狐黑产组织最新攻击样本技术分析报告

1. 攻击概述

银狐黑产组织近期更新了其攻击样本,采用钓鱼链接方式传播恶意程序。攻击者通过工作群发送钓鱼链接并@所有人诱导下载,下载的EXE程序会根据时间不同而有所变化,表明攻击者在持续更新样本。

2. 样本分析

2.1 样本基本信息

  • 样本一

    • 编译时间:2024年6月3日
    • 主要行为:下载加密数据→解密→执行ShellCode→注入Payload

  • 样本二

    • 编译时间:2024年6月4日(更新版本)
    • 主要变化:服务器基础设施IP地址改变,生成的文件与样本一不同
    • 核心功能与样本一相同

2.2 攻击流程

  1. 初始阶段

    • 从远程服务器下载加密数据
    • 解密数据并分配内存空间存放ShellCode
    • 通过EnumDesktopWindows调用解密后的ShellCode

  2. ShellCode执行

    • 获取相关函数地址
    • 利用VirtualAlloc分配内存空间
    • 将解密出的Payload数据拷贝到分配的内存
    • 跳转执行Payload入口点代码

  3. Payload功能

    • 获取C2配置信息并设置为注册表项
    • 权限检查(判断是否为管理者权限)
    • 安全软件检测(检查360Tray.exe进程)
    • 进程注入(注入到colorcpl.exe进程)

3. 技术细节

3.1 ShellCode分析

  1. C2配置信息存储

    • 将包含C2配置信息的ShellCode设置为注册表项
    • 标记字符串"codemark"用于定位配置信息

  2. 网络通信

    • 获取网络相关函数地址
    • 与远程服务器分段通信
    • 返回数据解密后执行

  3. 注入技术

    • 启动colorcpl.exe进程
    • 查询注册表中的ShellCode
    • 注入到目标进程并远程调用执行

3.2 对抗技术

  1. 安全软件检测

    • 检测360Tray.exe进程
    • 存在时在特定目录生成文件并设置注册表项
    • 遍历并结束相关安全进程

  2. 持久化

    • 通过注册表存储配置信息
    • 注入到系统可信进程(colorcpl.exe)

  3. 免杀技术

    • 加密通信数据
    • 分段加载恶意代码
    • 使用合法系统进程作为载体

3.3 恶意功能

  1. 信息收集

    • 获取主机微信和网银窗口截图
    • 截图保存在C:\ProgramData\AnonymousScreenShot
    • 以时间命名截图文件

  2. C2通信

    • 解析固定格式的C2配置信息
    • 持续与远程服务器通信
    • 支持分段接收指令和数据

4. 威胁情报

  1. 同源分析

    • Payload导出函数与之前银狐变种样本一致
    • 代码结构与已知银狐样本基本一致
    • 确认此次攻击与银狐黑产团伙相关

  2. 基础设施

    • 样本间服务器IP地址变化
    • 采用多层C2架构
    • 域名信息隐藏在ShellCode中

5. 防御建议

  1. 检测建议

    • 监控EnumDesktopWindows异常调用
    • 检测colorcpl.exe进程的异常内存操作
    • 关注ProgramData目录下的截图文件生成
    • 监控可疑的注册表项修改

  2. 防护措施

    • 限制工作群文件分享权限
    • 启用高级威胁防护检测ShellCode注入
    • 更新终端安全软件规则库
    • 实施网络流量分析检测C2通信

  3. 响应建议

    • 隔离受感染主机
    • 检查注册表中可疑的ShellCode项
    • 审查colorcpl.exe进程的异常行为
    • 收集并分析生成的截图文件

6. 总结

银狐黑产组织持续更新攻击样本,采用多层加密、进程注入和对抗检测技术,攻击手法专业且具有针对性。安全团队应关注此类攻击的以下特点:

  1. 利用工作群等可信渠道传播
  2. 动态更新攻击样本
  3. 多阶段载荷投放
  4. 强对抗检测能力
  5. 敏感信息收集功能

通过分析此类样本的技术细节,可以帮助安全团队更好地检测和防御类似攻击。

银狐黑产组织最新攻击样本技术分析报告 1. 攻击概述 银狐黑产组织近期更新了其攻击样本,采用钓鱼链接方式传播恶意程序。攻击者通过工作群发送钓鱼链接并@所有人诱导下载,下载的EXE程序会根据时间不同而有所变化,表明攻击者在持续更新样本。 2. 样本分析 2.1 样本基本信息 样本一 : 编译时间:2024年6月3日 主要行为:下载加密数据→解密→执行ShellCode→注入Payload 样本二 : 编译时间:2024年6月4日(更新版本) 主要变化:服务器基础设施IP地址改变,生成的文件与样本一不同 核心功能与样本一相同 2.2 攻击流程 初始阶段 : 从远程服务器下载加密数据 解密数据并分配内存空间存放ShellCode 通过EnumDesktopWindows调用解密后的ShellCode ShellCode执行 : 获取相关函数地址 利用VirtualAlloc分配内存空间 将解密出的Payload数据拷贝到分配的内存 跳转执行Payload入口点代码 Payload功能 : 获取C2配置信息并设置为注册表项 权限检查(判断是否为管理者权限) 安全软件检测(检查360Tray.exe进程) 进程注入(注入到colorcpl.exe进程) 3. 技术细节 3.1 ShellCode分析 C2配置信息存储 : 将包含C2配置信息的ShellCode设置为注册表项 标记字符串"codemark"用于定位配置信息 网络通信 : 获取网络相关函数地址 与远程服务器分段通信 返回数据解密后执行 注入技术 : 启动colorcpl.exe进程 查询注册表中的ShellCode 注入到目标进程并远程调用执行 3.2 对抗技术 安全软件检测 : 检测360Tray.exe进程 存在时在特定目录生成文件并设置注册表项 遍历并结束相关安全进程 持久化 : 通过注册表存储配置信息 注入到系统可信进程(colorcpl.exe) 免杀技术 : 加密通信数据 分段加载恶意代码 使用合法系统进程作为载体 3.3 恶意功能 信息收集 : 获取主机微信和网银窗口截图 截图保存在C:\ProgramData\AnonymousScreenShot 以时间命名截图文件 C2通信 : 解析固定格式的C2配置信息 持续与远程服务器通信 支持分段接收指令和数据 4. 威胁情报 同源分析 : Payload导出函数与之前银狐变种样本一致 代码结构与已知银狐样本基本一致 确认此次攻击与银狐黑产团伙相关 基础设施 : 样本间服务器IP地址变化 采用多层C2架构 域名信息隐藏在ShellCode中 5. 防御建议 检测建议 : 监控EnumDesktopWindows异常调用 检测colorcpl.exe进程的异常内存操作 关注ProgramData目录下的截图文件生成 监控可疑的注册表项修改 防护措施 : 限制工作群文件分享权限 启用高级威胁防护检测ShellCode注入 更新终端安全软件规则库 实施网络流量分析检测C2通信 响应建议 : 隔离受感染主机 检查注册表中可疑的ShellCode项 审查colorcpl.exe进程的异常行为 收集并分析生成的截图文件 6. 总结 银狐黑产组织持续更新攻击样本,采用多层加密、进程注入和对抗检测技术,攻击手法专业且具有针对性。安全团队应关注此类攻击的以下特点: 利用工作群等可信渠道传播 动态更新攻击样本 多阶段载荷投放 强对抗检测能力 敏感信息收集功能 通过分析此类样本的技术细节,可以帮助安全团队更好地检测和防御类似攻击。