近期银狐样本的攻击链条分析
字数 2329 2025-08-29 22:41:10

银狐样本攻击链条分析与防御指南

一、样本概述

样本名称: Google_GPT_brovvsers_v1.0.6.msi
MD5哈希: 8d180ed42f75c78d0c5170b2ab71be5e
C2服务器: 23.133.4.98:4433
伪装特征: 文件名中使用"vv"代替"w",描述中"google"拼写为"googe"以避免与已安装的Google浏览器冲突

二、攻击流程分析

1. 初始感染阶段

  1. 安装包执行:

    • 伪装成谷歌GPT浏览器安装包
    • 属于重打包类型,在正常安装包中加入了恶意代码

  2. 文件释放:

    • 安装目录下释放看似正常的谷歌浏览器安装文件
    • 公共目录(CommonAppDataFolder)下释放可疑文件:
      • 单个可疑DLL文件
      • 多个相同大小的文件(可能是切片文件)

  3. 恶意DLL调用:

    • 安装过程中调用FKTrump.dll的导出函数utools
    • 该函数负责解密并拼接公共目录下的切片文件为cross.dat(压缩包)

2. 文件解密与执行

  1. 文件解压:

    • 将cross.dat解压到用户目录下的tripol_[时间戳]文件夹
    • 执行其中的exe文件

  2. 白加黑技术利用:

    • 使用steam_api64.dll(200MB+)作为恶意载体
    • 通过.data段填充无意义数据增大文件体积以绕过静态检测

3. 持久化与注入机制

  1. 进程检测与感染标志:

    • steam_api64.dll检测所有进程可访问内存块中的"Ven_sign"字符串(感染标志)

  2. 权限维持:

    • 注册表项:
      • 创建启动目录%ProgramData%\Venlnk
      • 设置HKEY_CURRENT_USER\SOFTWARE\DeepSer下的键值:
        • OpenAi_Service: 指向维权程序
        • Onload1: 标记为母体
    • 计划任务:
      • 通过COM接口注册计划任务执行银狐母体文件

  3. 文件释放:

    • 释放加密压缩包C:\Users\[用户名]\esource.dat
      • 解压密码: Panzer0
      • 包含5个用于权限维持的文件
    • 释放lnk文件指向%appdata%\HttpNetword_FixNDetectService.exe

4. Shellcode执行技术

  1. Shellcode来源:

    • 从view.res文件固定偏移处读取(存储在MyData)
    • 从state.ini文件固定偏移处读取(文件头为PNG伪装)

  2. 执行方式:

    • 覆盖当前进程模块的入口点代码
    • 若VirtualProtect调用失败,则申请可执行内存执行

  3. 注入技术:

    • 使用Donut生成的shellcode加载PE文件
    • 注入器为poolparty,将shellcode注入explorer.exe
    • 注入流程:
      1. 创建挂起的explorer进程
      2. 写入shellcode
      3. 设置线程上下文
      4. 唤醒线程执行

5. 最终载荷

  1. 远控加载:

    • 最终shellcode加载winos远控
    • 通过rundll32注入执行(手法与explorer注入相同)

  2. 维权程序:

    • AIDE.dll同样增肥至200+MB
    • 读取MyData数据并注入rundll32

三、技术亮点分析

  1. 规避技术:

    • 文件体积膨胀(200MB+)绕过静态扫描
    • 使用白加黑技术加载恶意代码
    • 重要数据隐藏在资源文件中

  2. 持久化技术:

    • 多维度持久化(注册表、启动目录、计划任务)
    • 使用COM接口注册计划任务
    • 通过IShellLinkW创建LNK文件

  3. 注入技术:

    • 多进程注入(explorer.exe和rundll32.exe)
    • Donut生成的shellcode
    • 传统挂起进程注入手法

  4. 数据隐藏:

    • 切片文件异或解密
    • 加密压缩包(Panzer0密码)
    • 有效数据隐藏在正常文件格式中(PNG头)

四、检测与防御建议

1. 检测指标(IOCs)

  • 文件哈希:

    • 8d180ed42f75c78d0c5170b2ab71be5e

  • 文件路径特征:

    • %ProgramData%\Venlnk\*
    • tripol_[时间戳]\
    • C:\Users\[用户名]\esource.dat

  • 注册表项:

    • HKEY_CURRENT_USER\SOFTWARE\DeepSer
      • OpenAi_Service
      • Onload1

  • 进程行为:

    • 异常大的DLL文件(200MB+)
    • explorer/rundll32进程异常内存操作

2. 防御措施

  1. 安装源控制:

    • 仅从官方渠道下载软件
    • 警惕名称拼写异常的安装包

  2. 行为监控:

    • 监控异常进程创建(特别是explorer/rundll32)
    • 检测大体积DLL文件的加载行为

  3. 权限控制:

    • 限制普通用户的注册表写入权限
    • 监控COM接口的异常调用

  4. 内存保护:

    • 启用防注入保护
    • 监控异常的内存修改行为

  5. 网络控制:

    • 拦截与已知C2(23.133.4.98)的通信
    • 监控异常的出站连接

五、分析工具建议

  1. 静态分析:

    • PE解析工具(PE-bear, CFF Explorer)
    • 字符串和资源提取工具

  2. 动态分析:

    • 进程监控(Process Monitor)
    • API调用监控(API Monitor)

  3. 内存分析:

    • Volatility内存取证
    • 调试器(IDA, x64dbg)分析shellcode

  4. 网络分析:

    • Wireshark捕获C2通信
    • 模拟沙箱网络行为分析

六、总结

银狐样本展示了现代恶意软件的复杂攻击链条,结合了多种高级技术:

  • 精心设计的初始感染载体
  • 多阶段文件解密与加载
  • 多种持久化机制
  • 创新的注入技术
  • 专业的规避手段

防御此类攻击需要多层防护策略,重点关注异常行为检测和内存保护,同时加强对安装源的控制和用户教育。

银狐样本攻击链条分析与防御指南 一、样本概述 样本名称 : Google_ GPT_ brovvsers_ v1.0.6.msi MD5哈希 : 8d180ed42f75c78d0c5170b2ab71be5e C2服务器 : 23.133.4.98:4433 伪装特征 : 文件名中使用"vv"代替"w",描述中"google"拼写为"googe"以避免与已安装的Google浏览器冲突 二、攻击流程分析 1. 初始感染阶段 安装包执行 : 伪装成谷歌GPT浏览器安装包 属于重打包类型,在正常安装包中加入了恶意代码 文件释放 : 安装目录下释放看似正常的谷歌浏览器安装文件 公共目录(CommonAppDataFolder)下释放可疑文件: 单个可疑DLL文件 多个相同大小的文件(可能是切片文件) 恶意DLL调用 : 安装过程中调用FKTrump.dll的导出函数 utools 该函数负责解密并拼接公共目录下的切片文件为cross.dat(压缩包) 2. 文件解密与执行 文件解压 : 将cross.dat解压到用户目录下的tripol_ [ 时间戳 ]文件夹 执行其中的exe文件 白加黑技术利用 : 使用steam_ api64.dll(200MB+)作为恶意载体 通过.data段填充无意义数据增大文件体积以绕过静态检测 3. 持久化与注入机制 进程检测与感染标志 : steam_ api64.dll检测所有进程可访问内存块中的"Ven_ sign"字符串(感染标志) 权限维持 : 注册表项: 创建启动目录 %ProgramData%\Venlnk 设置 HKEY_CURRENT_USER\SOFTWARE\DeepSer 下的键值: OpenAi_ Service: 指向维权程序 Onload1: 标记为母体 计划任务: 通过COM接口注册计划任务执行银狐母体文件 文件释放 : 释放加密压缩包 C:\Users\[用户名]\esource.dat 解压密码: Panzer0 包含5个用于权限维持的文件 释放lnk文件指向 %appdata%\HttpNetword_FixNDetectService.exe 4. Shellcode执行技术 Shellcode来源 : 从view.res文件固定偏移处读取(存储在MyData) 从state.ini文件固定偏移处读取(文件头为PNG伪装) 执行方式 : 覆盖当前进程模块的入口点代码 若VirtualProtect调用失败,则申请可执行内存执行 注入技术 : 使用Donut生成的shellcode加载PE文件 注入器为poolparty,将shellcode注入explorer.exe 注入流程: 创建挂起的explorer进程 写入shellcode 设置线程上下文 唤醒线程执行 5. 最终载荷 远控加载 : 最终shellcode加载winos远控 通过rundll32注入执行(手法与explorer注入相同) 维权程序 : AIDE.dll同样增肥至200+MB 读取MyData数据并注入rundll32 三、技术亮点分析 规避技术 : 文件体积膨胀(200MB+)绕过静态扫描 使用白加黑技术加载恶意代码 重要数据隐藏在资源文件中 持久化技术 : 多维度持久化(注册表、启动目录、计划任务) 使用COM接口注册计划任务 通过IShellLinkW创建LNK文件 注入技术 : 多进程注入(explorer.exe和rundll32.exe) Donut生成的shellcode 传统挂起进程注入手法 数据隐藏 : 切片文件异或解密 加密压缩包(Panzer0密码) 有效数据隐藏在正常文件格式中(PNG头) 四、检测与防御建议 1. 检测指标(IOCs) 文件哈希 : 8d180ed42f75c78d0c5170b2ab71be5e 文件路径特征 : %ProgramData%\Venlnk\* tripol_[时间戳]\ C:\Users\[用户名]\esource.dat 注册表项 : HKEY_CURRENT_USER\SOFTWARE\DeepSer OpenAi_ Service Onload1 进程行为 : 异常大的DLL文件(200MB+) explorer/rundll32进程异常内存操作 2. 防御措施 安装源控制 : 仅从官方渠道下载软件 警惕名称拼写异常的安装包 行为监控 : 监控异常进程创建(特别是explorer/rundll32) 检测大体积DLL文件的加载行为 权限控制 : 限制普通用户的注册表写入权限 监控COM接口的异常调用 内存保护 : 启用防注入保护 监控异常的内存修改行为 网络控制 : 拦截与已知C2(23.133.4.98)的通信 监控异常的出站连接 五、分析工具建议 静态分析 : PE解析工具(PE-bear, CFF Explorer) 字符串和资源提取工具 动态分析 : 进程监控(Process Monitor) API调用监控(API Monitor) 内存分析 : Volatility内存取证 调试器(IDA, x64dbg)分析shellcode 网络分析 : Wireshark捕获C2通信 模拟沙箱网络行为分析 六、总结 银狐样本展示了现代恶意软件的复杂攻击链条,结合了多种高级技术: 精心设计的初始感染载体 多阶段文件解密与加载 多种持久化机制 创新的注入技术 专业的规避手段 防御此类攻击需要多层防护策略,重点关注异常行为检测和内存保护,同时加强对安装源的控制和用户教育。