正常数字签名的银狐钓鱼样本分析教学文档<\/h1>

前言概述<\/h2>
"银狐"类黑产团伙近年来非常活跃，其攻击样本不断更新，采用各种免杀技术逃避安全检测。本教学文档将详细分析一款带有正常数字签名的银狐钓鱼样本，揭示其攻击手法和技术特点。<\/p>

样本特点<\/h3>

使用正常数字签名作为免杀手段<\/li>
国内多家安全厂商未报毒<\/li>
采用多种加壳加密技术<\/li>
编译时间为2024年11月<\/li>
采用C#语言编写<\/li> <\/ul>
样本分析<\/h2>
1. 初始样本分析<\/h3>
- 母体样本采用C#语言编写<\/li>
- 使用了混淆加壳技术<\/li>
- 编译时间为2024年11月<\/li>
- 样本被混淆处理，需要进行反混淆<\/li> <\/ul>
  2. 反混淆过程<\/h3>
  1. 使用de4dot工具进行初步去混淆<\/li>
  2. 动态调试解码加密的字符串<\/li>
  3. 通过Base64解码获取关键信息<\/li>
  4. 解码后获得URL链接：http:\/\/[恶意域名]\/path\/to\/file<\/code><\/li> <\/ol> 3. 恶意行为分析<\/h3> 从远程服务器下载恶意文件到指定目录<\/li> 启动down.exe程序<\/li> 采用白+黑模式加载恶意模块恶意模块同样带有正常数字签名<\/li> 编译时间为2024年12月16日<\/li> 使用Virbox加壳处理<\/li> <\/ul> <\/li> <\/ol> 4. 恶意模块分析<\/h3> 读取目录下的加密文件TASLogin.log<\/li> 分配内存空间并读取加密文件<\/li> 解密加密数据得到ShellCode<\/li> ShellCode行为：获取相关函数地址<\/li> 通过VirtualAlloc分配内存空间<\/li> 解密ShellCode中的加密数据<\/li> 解密出采用VMP加壳的PayLoad<\/li> <\/ul> <\/li> <\/ol> 5. PayLoad分析<\/h3> 为一款远控窃密木马<\/li> 采用Delphi语言编写<\/li> 主要恶意功能：盗取浏览器Cookie数据（支持Chrome、Edge）<\/li> 窃取浏览器登录帐号和密码<\/li> 通过Chrome扩展程序ID定位数字货币钱包信息<\/li> <\/ul> <\/li> C2通信：远程服务器域名为kimhate.com<\/li> 与之前分析的"伪装成ToDesk安装程序加载后门盗取数字货币"样本代码相似度高<\/li> <\/ul> <\/li> <\/ol> 技术细节<\/h2> 1. 加壳技术<\/h3> 母体样本：自定义混淆加壳<\/li> 恶意模块：Virbox加壳<\/li> PayLoad：VMP加壳<\/li> <\/ul> 2. 字符串加密<\/h3> 使用Base64编码<\/li> 多层加密解密过程<\/li> 动态调试才能获取真实字符串<\/li> <\/ul> 3. 加载技术<\/h3> 白+黑模式加载恶意模块<\/li> 内存解密执行ShellCode<\/li> 多阶段加载规避检测<\/li> <\/ul> 4. 窃密功能实现<\/h3> \/\/ 示例导出函数 FJYSA8D1ACE89219943A45570628FEE12787KTAC \/\/ 浏览器数据窃取流程 1. 定位浏览器数据存储位置 2. 解密浏览器存储的密码和Cookie 3. 收集扩展程序信息 4. 通过扩展ID定位数字货币钱包 5. 打包发送到C2服务器 <\/code><\/pre> 防御建议<\/h2> 1. 检测方面<\/h3> 监控异常的数字签名验证行为<\/li> 关注Virbox和VMP加壳的可执行文件<\/li> 检测多阶段加载的可疑行为<\/li> 监控对浏览器数据目录的异常访问<\/li> <\/ul> 2. 防护措施<\/h3> 启用应用程序白名单<\/li> 限制PowerShell等脚本解释器的使用<\/li> 部署EDR解决方案监控内存行为<\/li> 定期更新威胁情报，关注新出现的C2域名<\/li> <\/ul> 3. 应急响应<\/h3> 发现感染后的处理步骤：立即隔离受感染主机<\/li> 重置所有可能泄露的凭据<\/li> 检查数字货币钱包安全性<\/li> 全面扫描系统清除残留<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该银狐钓鱼样本展示了高级攻击者的典型手法：<\/p> 利用合法数字签名绕过基础防御<\/li> 多层加壳加密规避静态分析<\/li> 多阶段加载降低检测概率<\/li> 针对性的信息窃取功能<\/li> <\/ol> 安全团队需要持续关注此类攻击的演变，加强动态行为分析和内存检测能力，才能有效防御此类高级威胁。<\/p>

正常数字签名的银狐钓鱼样本分析教学文档<\/h1>

前言概述<\/h2> "银狐"类黑产团伙近年来非常活跃，其攻击样本不断更新，采用各种免杀技术逃避安全检测。本教学文档将详细分析一款带有正常数字签名的银狐钓鱼样本，揭示其攻击手法和技术特点。<\/p>

样本分析<\/h2>

技术细节<\/h2>

防御建议<\/h2>

前言概述<\/h2>
"银狐"类黑产团伙近年来非常活跃，其攻击样本不断更新，采用各种免杀技术逃避安全检测。本教学文档将详细分析一款带有正常数字签名的银狐钓鱼样本，揭示其攻击手法和技术特点。<\/p>