银狐注入型最新样本分析
字数 1582 2025-08-29 08:30:18

银狐注入型最新样本分析教学文档

一、样本概述

  1. 样本类型:银狐黑产团伙最新攻击样本
  2. 编写语言:C#和C/C++混合使用
  3. 编译时间:主模块2025年3月9日,Payload模块2025年3月2日
  4. 攻击特点
    • 采用多种免杀技术逃避检测
    • 使用白+黑加载方式
    • 包含增肥技术
    • 采用进程注入技术

二、样本技术分析

1. 初始样本特征

  • 带有无效的数字签名证书
  • 使用C#语言编写
  • 包含加密的URL配置信息

2. 配置信息解密

  • 样本首先解密内置的URL配置信息
  • 创建恶意程序专用目录
  • 解密出的URL配置信息格式示例(未提供具体内容)

3. 远程下载机制

  • 从远程服务器读取URL配置信息文件
  • 依次下载配置信息中的所有恶意程序到创建的目录
  • 下载的恶意程序包括:
    • Microsoft_Xtools.exe(白文件)
    • 其他恶意模块

4. 白+黑加载技术

  • 启动Microsoft_Xtools.exe进程作为载体
  • 加载恶意模块
  • 恶意模块使用Gzip压缩格式
  • 解压缩后文件体积异常增大(200MB+)

5. 增肥技术细节

  • 在数据段填充大量空字符串
  • 带有无效的数字签名
  • 文件体积膨胀至200MB以上以逃避检测

6. 持久化机制

  • 生成多个恶意程序
  • 设置注册表自启动项
  • 具体注册表路径(未明确提供)
  • 读取view.res数据设置特定注册表项

7. 第二阶段加载

  • kitty.exe作为游戏客户端(来自overwolf.com)
  • 同样采用白+黑方式加载恶意模块
  • 恶意模块同样使用增肥技术

8. ShellCode注入

  • 从注册表项DeepSer的MyData中读取ShellCode
  • 注入到explorer或rundll32进程中执行
  • 注入过程分析:
    • 使用VirtualAlloc分配内存空间
    • 存储加密数据到分配的内存
    • 解密加密数据
    • 解压缩解密后的数据

9. 最终Payload分析

  • 采用C/C++编写
  • 编译时间:2025年3月2日
  • 主程序代码与修改版Gh0st变种基本一致
  • C2服务器域名:hk2.index2028.com
  • 包含安全软件检测功能(遍历系统安全软件列表)

三、技术特点总结

  1. 多层加密:配置信息、Payload多层加密
  2. 多阶段加载:初始样本→下载→白+黑加载→ShellCode注入→最终Payload
  3. 反检测技术
    • 增肥技术(200MB+文件)
    • 无效数字签名
    • 内存驻留(核心Payload只在内存中)
    • 进程注入(explorer/rundll32)
  4. 持久化机制:注册表自启动项
  5. C2通信:hk2.index2028.com

四、防御建议

  1. 签名验证:严格验证数字签名有效性
  2. 行为监控
    • 监控异常进程注入行为
    • 监控大体积程序加载行为
  3. 网络防护
    • 拦截hk2.index2028.com相关连接
    • 监控异常URL下载行为
  4. 注册表防护:监控DeepSer等异常注册表项修改
  5. 内存检测:加强内存恶意代码扫描能力
  6. 白名单机制:对overwolf.com等白文件来源加强监控

五、分析工具建议

  1. 静态分析:IDA Pro、Ghidra
  2. 动态分析:x64dbg、OllyDbg
  3. 网络分析:Wireshark、Fiddler
  4. 行为分析:Process Monitor、Process Hacker
  5. 内存分析:Volatility、WinDbg

六、IoC指标

  1. 域名
    • hk2.index2028.com
    • overwolf.com(被利用)
  2. 文件特征
    • Microsoft_Xtools.exe
    • kitty.exe
  3. 注册表项
    • DeepSer
    • MyData
  4. 编译时间戳
    • 2025-03-09(主模块)
    • 2025-03-02(Payload)

七、演变趋势

  1. 技术复杂度持续提升
  2. 免杀技术快速更新
  3. 攻击范围不断扩大
  4. 模块化程度提高
  5. 反检测能力增强(特别是内存检测规避)
银狐注入型最新样本分析教学文档 一、样本概述 样本类型 :银狐黑产团伙最新攻击样本 编写语言 :C#和C/C++混合使用 编译时间 :主模块2025年3月9日,Payload模块2025年3月2日 攻击特点 : 采用多种免杀技术逃避检测 使用白+黑加载方式 包含增肥技术 采用进程注入技术 二、样本技术分析 1. 初始样本特征 带有无效的数字签名证书 使用C#语言编写 包含加密的URL配置信息 2. 配置信息解密 样本首先解密内置的URL配置信息 创建恶意程序专用目录 解密出的URL配置信息格式示例(未提供具体内容) 3. 远程下载机制 从远程服务器读取URL配置信息文件 依次下载配置信息中的所有恶意程序到创建的目录 下载的恶意程序包括: Microsoft_ Xtools.exe(白文件) 其他恶意模块 4. 白+黑加载技术 启动Microsoft_ Xtools.exe进程作为载体 加载恶意模块 恶意模块使用Gzip压缩格式 解压缩后文件体积异常增大(200MB+) 5. 增肥技术细节 在数据段填充大量空字符串 带有无效的数字签名 文件体积膨胀至200MB以上以逃避检测 6. 持久化机制 生成多个恶意程序 设置注册表自启动项 具体注册表路径(未明确提供) 读取view.res数据设置特定注册表项 7. 第二阶段加载 kitty.exe作为游戏客户端(来自overwolf.com) 同样采用白+黑方式加载恶意模块 恶意模块同样使用增肥技术 8. ShellCode注入 从注册表项DeepSer的MyData中读取ShellCode 注入到explorer或rundll32进程中执行 注入过程分析: 使用VirtualAlloc分配内存空间 存储加密数据到分配的内存 解密加密数据 解压缩解密后的数据 9. 最终Payload分析 采用C/C++编写 编译时间:2025年3月2日 主程序代码与修改版Gh0st变种基本一致 C2服务器域名:hk2.index2028.com 包含安全软件检测功能(遍历系统安全软件列表) 三、技术特点总结 多层加密 :配置信息、Payload多层加密 多阶段加载 :初始样本→下载→白+黑加载→ShellCode注入→最终Payload 反检测技术 : 增肥技术(200MB+文件) 无效数字签名 内存驻留(核心Payload只在内存中) 进程注入(explorer/rundll32) 持久化机制 :注册表自启动项 C2通信 :hk2.index2028.com 四、防御建议 签名验证 :严格验证数字签名有效性 行为监控 : 监控异常进程注入行为 监控大体积程序加载行为 网络防护 : 拦截hk2.index2028.com相关连接 监控异常URL下载行为 注册表防护 :监控DeepSer等异常注册表项修改 内存检测 :加强内存恶意代码扫描能力 白名单机制 :对overwolf.com等白文件来源加强监控 五、分析工具建议 静态分析:IDA Pro、Ghidra 动态分析:x64dbg、OllyDbg 网络分析:Wireshark、Fiddler 行为分析:Process Monitor、Process Hacker 内存分析:Volatility、WinDbg 六、IoC指标 域名 : hk2.index2028.com overwolf.com(被利用) 文件特征 : Microsoft_ Xtools.exe kitty.exe 注册表项 : DeepSer MyData 编译时间戳 : 2025-03-09(主模块) 2025-03-02(Payload) 七、演变趋势 技术复杂度持续提升 免杀技术快速更新 攻击范围不断扩大 模块化程度提高 反检测能力增强(特别是内存检测规避)