正常数字签名的银狐钓鱼样本分析
字数 1256 2025-08-29 08:30:30

正常数字签名的银狐钓鱼样本分析教学文档

前言概述

"银狐"类黑产团伙近年来非常活跃,其攻击样本不断更新,采用各种免杀技术逃避安全检测。本教学文档将详细分析一款带有正常数字签名的银狐钓鱼样本,揭示其攻击手法和技术特点。

样本特点

  • 使用正常数字签名作为免杀手段
  • 国内多家安全厂商未报毒
  • 采用多种加壳加密技术
  • 编译时间为2024年11月
  • 采用C#语言编写

样本分析

1. 初始样本分析

  • 母体样本采用C#语言编写
  • 使用了混淆加壳技术
  • 编译时间为2024年11月
  • 样本被混淆处理,需要进行反混淆

2. 反混淆过程

  1. 使用de4dot工具进行初步去混淆
  2. 动态调试解码加密的字符串
  3. 通过Base64解码获取关键信息
  4. 解码后获得URL链接:http://[恶意域名]/path/to/file

3. 恶意行为分析

  1. 从远程服务器下载恶意文件到指定目录
  2. 启动down.exe程序
  3. 采用白+黑模式加载恶意模块
    • 恶意模块同样带有正常数字签名
    • 编译时间为2024年12月16日
    • 使用Virbox加壳处理

4. 恶意模块分析

  1. 读取目录下的加密文件TASLogin.log
  2. 分配内存空间并读取加密文件
  3. 解密加密数据得到ShellCode
  4. ShellCode行为:
    • 获取相关函数地址
    • 通过VirtualAlloc分配内存空间
    • 解密ShellCode中的加密数据
    • 解密出采用VMP加壳的PayLoad

5. PayLoad分析

  1. 为一款远控窃密木马
  2. 采用Delphi语言编写
  3. 主要恶意功能:
    • 盗取浏览器Cookie数据(支持Chrome、Edge)
    • 窃取浏览器登录帐号和密码
    • 通过Chrome扩展程序ID定位数字货币钱包信息
  4. C2通信:
    • 远程服务器域名为kimhate.com
    • 与之前分析的"伪装成ToDesk安装程序加载后门盗取数字货币"样本代码相似度高

技术细节

1. 加壳技术

  • 母体样本:自定义混淆加壳
  • 恶意模块:Virbox加壳
  • PayLoad:VMP加壳

2. 字符串加密

  • 使用Base64编码
  • 多层加密解密过程
  • 动态调试才能获取真实字符串

3. 加载技术

  • 白+黑模式加载恶意模块
  • 内存解密执行ShellCode
  • 多阶段加载规避检测

4. 窃密功能实现

// 示例导出函数
FJYSA8D1ACE89219943A45570628FEE12787KTAC

// 浏览器数据窃取流程
1. 定位浏览器数据存储位置
2. 解密浏览器存储的密码和Cookie
3. 收集扩展程序信息
4. 通过扩展ID定位数字货币钱包
5. 打包发送到C2服务器

防御建议

1. 检测方面

  • 监控异常的数字签名验证行为
  • 关注Virbox和VMP加壳的可执行文件
  • 检测多阶段加载的可疑行为
  • 监控对浏览器数据目录的异常访问

2. 防护措施

  • 启用应用程序白名单
  • 限制PowerShell等脚本解释器的使用
  • 部署EDR解决方案监控内存行为
  • 定期更新威胁情报,关注新出现的C2域名

3. 应急响应

  1. 发现感染后的处理步骤:
    • 立即隔离受感染主机
    • 重置所有可能泄露的凭据
    • 检查数字货币钱包安全性
    • 全面扫描系统清除残留

总结

该银狐钓鱼样本展示了高级攻击者的典型手法:

  1. 利用合法数字签名绕过基础防御
  2. 多层加壳加密规避静态分析
  3. 多阶段加载降低检测概率
  4. 针对性的信息窃取功能

安全团队需要持续关注此类攻击的演变,加强动态行为分析和内存检测能力,才能有效防御此类高级威胁。

正常数字签名的银狐钓鱼样本分析教学文档 前言概述 "银狐"类黑产团伙近年来非常活跃,其攻击样本不断更新,采用各种免杀技术逃避安全检测。本教学文档将详细分析一款带有正常数字签名的银狐钓鱼样本,揭示其攻击手法和技术特点。 样本特点 使用正常数字签名作为免杀手段 国内多家安全厂商未报毒 采用多种加壳加密技术 编译时间为2024年11月 采用C#语言编写 样本分析 1. 初始样本分析 母体样本采用C#语言编写 使用了混淆加壳技术 编译时间为2024年11月 样本被混淆处理,需要进行反混淆 2. 反混淆过程 使用de4dot工具进行初步去混淆 动态调试解码加密的字符串 通过Base64解码获取关键信息 解码后获得URL链接: http://[恶意域名]/path/to/file 3. 恶意行为分析 从远程服务器下载恶意文件到指定目录 启动down.exe程序 采用白+黑模式加载恶意模块 恶意模块同样带有正常数字签名 编译时间为2024年12月16日 使用Virbox加壳处理 4. 恶意模块分析 读取目录下的加密文件TASLogin.log 分配内存空间并读取加密文件 解密加密数据得到ShellCode ShellCode行为: 获取相关函数地址 通过VirtualAlloc分配内存空间 解密ShellCode中的加密数据 解密出采用VMP加壳的PayLoad 5. PayLoad分析 为一款远控窃密木马 采用Delphi语言编写 主要恶意功能: 盗取浏览器Cookie数据(支持Chrome、Edge) 窃取浏览器登录帐号和密码 通过Chrome扩展程序ID定位数字货币钱包信息 C2通信: 远程服务器域名为kimhate.com 与之前分析的"伪装成ToDesk安装程序加载后门盗取数字货币"样本代码相似度高 技术细节 1. 加壳技术 母体样本:自定义混淆加壳 恶意模块:Virbox加壳 PayLoad:VMP加壳 2. 字符串加密 使用Base64编码 多层加密解密过程 动态调试才能获取真实字符串 3. 加载技术 白+黑模式加载恶意模块 内存解密执行ShellCode 多阶段加载规避检测 4. 窃密功能实现 防御建议 1. 检测方面 监控异常的数字签名验证行为 关注Virbox和VMP加壳的可执行文件 检测多阶段加载的可疑行为 监控对浏览器数据目录的异常访问 2. 防护措施 启用应用程序白名单 限制PowerShell等脚本解释器的使用 部署EDR解决方案监控内存行为 定期更新威胁情报,关注新出现的C2域名 3. 应急响应 发现感染后的处理步骤: 立即隔离受感染主机 重置所有可能泄露的凭据 检查数字货币钱包安全性 全面扫描系统清除残留 总结 该银狐钓鱼样本展示了高级攻击者的典型手法: 利用合法数字签名绕过基础防御 多层加壳加密规避静态分析 多阶段加载降低检测概率 针对性的信息窃取功能 安全团队需要持续关注此类攻击的演变,加强动态行为分析和内存检测能力,才能有效防御此类高级威胁。