银狐样本分析技术文档<\/h1>

样本基本信息<\/h2>

SHA256<\/strong>: 70826f24a6f857dd220e637884465b961b252c1374ccaa757a97f587ccf36144<\/li>
样本类型<\/strong>: 银狐恶意软件<\/li>

分析日期<\/strong>: 2025年3月24日<\/li> <\/ul>
行为分析<\/h2>
进程行为<\/h3>

样本调用自身后创建PowerShell进程<\/li>
执行绕过Windows Defender的操作：
Add-MpPreference -ExclusionPath 'C:\'<\/span>,'C:\ProgramData'<\/span>,'C:\Users'<\/span>,'C:\Program Files (x86)'<\/span> -Force <\/span><\/span><\/code><\/pre><\/li> <\/ol> 文件行为<\/h3> 释放多个可执行文件到文档目录<\/li> 采用白加黑技术（合法程序加载恶意DLL）<\/li> 核心恶意模块使用VMP（Virtual Machine Protect）保护<\/li> <\/ol> 注册表行为<\/h3> 创建三个计划任务，对应不同的恶意文件<\/p> 网络行为<\/h3> 连接多个国内IP地址（可能为CDN节点，非真实C2）<\/li> 使用WSASocket套接字进行网络连接<\/li> <\/ol> 详细技术分析<\/h2> 主程序分析<\/h3> 反分析技术<\/h4> 严重代码混淆<\/li> 多层自解密机制<\/li> 使用VMP保护核心模块<\/li> <\/ol> 执行流程<\/h4> 提权操作<\/strong>：提升自身权限<\/li> 反沙箱技术<\/strong>：使用两个不同的睡眠函数<\/li> 数据填充操作<\/li> <\/ul> <\/li> 反杀软技术<\/strong>： \/\/ 遍历进程查找并关闭360安全软件 <\/span><\/span><\/span><\/span>if<\/span> (Find360Process()) { <\/span><\/span> Terminate360Process(); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 网络通信<\/strong>：使用ROT加密拼接C2地址<\/li> 从特定文件中提取加密字符串（查找*\/&字符后取70位）<\/li> 解密后还原真实C2地址<\/li> <\/ul> <\/li> 持久化<\/strong>：创建计划任务<\/li> 设置Windows Defender排除项<\/li> <\/ul> <\/li> <\/ol> Shellcode分析<\/h4> 创建互斥体确保单实例运行<\/li> 带参数重新执行自身程序<\/li> 关闭360安全软件的远程连接功能<\/li> 解密并执行下载的payload<\/li> <\/ol> 子程序分析<\/h3> 特征<\/h4> 伪装成UPX加壳（实际为自解密程序）<\/li> 需要特定参数才能执行完整功能<\/li> 使用互斥体控制执行<\/li> <\/ol> 网络连接逻辑<\/h4> 检查系统启动模式（故障安全模式不连接）<\/li> 优先使用ws2_32.dll，失败后使用mswsock.dll<\/li> 连接IOC中指定的C2服务器<\/li> <\/ol> 技术总结<\/h2> 攻击技术<\/h3> 防御规避<\/strong>：<\/p> 多层加密和混淆<\/li> VMP保护核心模块<\/li> 动态解密执行<\/li> 禁用安全软件防护<\/li> <\/ul> <\/li> 持久化<\/strong>：<\/p> 创建计划任务<\/li> 设置Windows Defender排除项<\/li> <\/ul> <\/li> 命令与控制<\/strong>：<\/p> 动态生成C2地址<\/li> 使用CDN节点作为跳板<\/li> 多备用通信模块<\/li> <\/ul> <\/li> <\/ol> 检测指标(IOC)<\/h3> 文件特征<\/strong>：<\/p> 释放路径：用户文档目录<\/li> 文件哈希（参见原始报告）<\/li> <\/ul> <\/li> 网络特征<\/strong>：<\/p> 特定IP连接模式<\/li> ROT加密的C2地址生成算法<\/li> <\/ul> <\/li> 行为特征<\/strong>：<\/p> 修改Windows Defender排除项<\/li> 创建特定名称的互斥体<\/li> 针对360安全软件的对抗行为<\/li> <\/ul> <\/li> <\/ol> 分析工具与方法<\/h2> 推荐工具<\/h3> 行为分析<\/strong>：<\/p> 微步云沙箱<\/li> Cuckoo Sandbox<\/li> <\/ul> <\/li> 逆向分析<\/strong>：<\/p> IDA Pro（带调试功能）<\/li> x64dbg<\/li> PEiD（检测加壳）<\/li> <\/ul> <\/li> 网络分析<\/strong>：<\/p> Wireshark<\/li> Fiddler<\/li> <\/ul> <\/li> <\/ol> 分析方法<\/h3> 动态分析<\/strong>：<\/p> 使用条件断点跟踪解密过程<\/li> 内存dump提取解密后的代码<\/li> <\/ul> <\/li> 静态分析<\/strong>：<\/p> 识别关键字符串（如互斥体名称）<\/li> 跟踪API调用链<\/li> <\/ul> <\/li> 网络流量分析<\/strong>：<\/p> 解密C2通信协议<\/li> 识别CDN跳转模式<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 终端防护<\/strong>：<\/p> 监控PowerShell执行Add-MpPreference命令<\/li> 阻止对安全软件进程的终止操作<\/li> 检测VMP保护的可执行文件<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 拦截可疑的国内CDN节点连接<\/li> 监测ROT加密的URL请求<\/li> <\/ul> <\/li> 企业防护<\/strong>：<\/p> 限制计划任务创建权限<\/li> 监控文档目录下的可执行文件<\/li> 实施应用程序白名单<\/li> <\/ul> <\/li> 应急响应<\/strong>：<\/p> 检查Windows Defender排除项<\/li> 查找特定互斥体存在<\/li> 分析可疑的计划任务<\/li> <\/ul> <\/li> <\/ol> 附录：关键代码片段<\/h2> PowerShell防御绕过<\/h3> Add-MpPreference -ExclusionPath 'C:\'<\/span>,'C:\ProgramData'<\/span>,'C:\Users'<\/span>,'C:\Program Files (x86)'<\/span> -Force <\/span><\/span><\/code><\/pre>C2地址生成算法（伪代码）<\/h3> char<\/span>*<\/span> GenerateC2<\/span>() { <\/span><\/span> char<\/span>*<\/span> encrypted =<\/span> FindPatternInFile("*\/&"<\/span>, 70<\/span>); \/\/ 从文件中查找模式 <\/span><\/span><\/span><\/span> char<\/span>*<\/span> decoded =<\/span> ROTDecrypt(encrypted); <\/span><\/span> char<\/span>*<\/span> url =<\/span> Concatenate("https:\/\/"<\/span>, decoded, "\/malware"<\/span>); <\/span><\/span> return<\/span> url; <\/span><\/span>} <\/span><\/span><\/code><\/pre>反杀软逻辑<\/h3> void<\/span> AntiAV<\/span>() { <\/span><\/span> while<\/span>(1<\/span>) { <\/span><\/span> if<\/span>(Is360Running()) { <\/span><\/span> Kill360Process(); <\/span><\/span> Block360Connections(); <\/span><\/span> } <\/span><\/span> Sleep(5000<\/span>); <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>