银狐木马伪装投毒分析技术文档<\/h1>

一、样本概述<\/h2>
银狐木马是一种通过MSI安装包进行传播的恶意软件，最新样本分析时间为2025年3月27日。该样本伪装成"Google Ai Browser v2.3.8"进行传播，采用多种技术手段绕过安全检测并实现持久化攻击。<\/p>

二、样本基本信息<\/h2>

样本类型<\/strong>: MSI安装包<\/li>
伪装应用<\/strong>: Google Ai Browser v2.3.8<\/li>
核心模块<\/strong>: 11UCore.dll<\/li>
编译时间<\/strong>: 2025-03-19<\/li>

文件大小<\/strong>: 超过200MB（使用填充技术膨胀）<\/li> <\/ul>
三、安装行为分析<\/h2>
3.1 默认安装路径<\/h3>
C:\Program Files (x86)\Mancyag\Google Ai Browser v2.3.8\<\/code><\/p>
3.2 释放文件结构<\/h3> 文件\/目录名<\/th> 描述<\/th> <\/tr> <\/thead> 1.4.6.950<\/td> 存放诺顿的一些依赖dll<\/td> <\/tr> 11UCore.dll<\/td> 核心恶意模块<\/td> <\/tr> 360sd_x64_std_7.0.0.1060.exe<\/td> 360杀毒安装包（实际未运行）<\/td> <\/tr> NewCabs.exe<\/td> Chrome安装包<\/td> <\/tr> Nord.Common.dll<\/td> 诺顿相关文件<\/td> <\/tr> NordUpdateService.exe<\/td> 诺顿相关文件（实际未运行）<\/td> <\/tr> uc.exe<\/td> 核心文件，用于加载11UCore.dll<\/td> <\/tr> unins000.*<\/td> 安装包相关文件<\/td> <\/tr> update.cab<\/td> 安装包相关文件<\/td> <\/tr> <\/tbody> <\/table> 四、技术细节分析<\/h2> 4.1 执行流程<\/h3> 安装后执行白加黑程序uc.exe<\/code><\/li> uc.exe<\/code>调用11UCore.dll<\/code>中的导出函数GetYYUCoreObj<\/code><\/li> 11UCore.dll<\/code>作为shellcode loader，解密执行银狐木马核心功能模块<\/li> <\/ol> 4.2 反检测技术<\/h3> 文件大小填充技术<\/strong>: 将文件膨胀到200MB+，尝试绕过云查杀<\/li> 调试检测<\/strong>: 检测自身是否被调试<\/li> 字符串混淆<\/strong>: 使用混淆技术隐藏关键字符串<\/li> 动态获取函数地址<\/strong>: 增加静态分析难度<\/li> <\/ol> 4.3 持久化技术<\/h3> 通过PowerShell添加Windows Defender排除目录<\/li> 创建名为"Google TaskScheduled Manager 130.0.1.5"的计划任务<\/li> <\/ol> 4.4 Shellcode加载<\/h3> 从文件11UCore3.cpy<\/code>中读取加密的shellcode<\/li> 解密后通过回调函数EnumDesktopWindows<\/code>执行shellcode<\/li> 在内存中加载dll文件（银狐木马上线模块）<\/li> <\/ol> 五、木马配置信息<\/h2> 内存中发现的配置信息：<\/p> |p1:23.133.4.3|o1:6666|t1:1|p2:23.133.4.3|o2:7777|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2025.2.28|jp:0|bh:0|ll:0|dl:1|sh:0|kl:0|bd:0 <\/code><\/pre> 配置参数解析：<\/p> p1\/p2: C2服务器IP (23.133.4.3)<\/li> o1\/o2: 端口 (6666, 7777)<\/li> t1\/t2: 连接类型<\/li> p3\/o3: 本地回环测试配置<\/li> 其他参数为功能开关和版本信息<\/li> <\/ul> 六、IOC（失陷指标）<\/h2> 恶意IP<\/strong>: 23.133.4[.]3<\/li> 端口<\/strong>: 6666, 7777<\/li> 核心文件哈希<\/strong>: 11UCore.dll<\/li> uc.exe<\/li> 11UCore3.cpy<\/li> <\/ul> <\/li> 计划任务名称<\/strong>: "Google TaskScheduled Manager 130.0.1.5"<\/li> <\/ul> 七、防御建议<\/h2> 检测层面<\/strong>:<\/p> 监控异常MSI安装包行为<\/li> 检测200MB+的异常DLL文件<\/li> 监控PowerShell添加Defender排除目录的操作<\/li> 检测"Google TaskScheduled Manager"相关计划任务<\/li> <\/ul> <\/li> 防护层面<\/strong>:<\/p> 阻止与IOC中IP的通信<\/li> 限制MSI安装包的执行权限<\/li> 启用行为检测对抗无文件攻击<\/li> <\/ul> <\/li> 响应层面<\/strong>:<\/p> 检查系统是否存在上述文件和计划任务<\/li> 分析内存中是否存在银狐木马特征<\/li> 彻底清除后检查其他持久化机制<\/li> <\/ul> <\/li> <\/ol> 八、总结<\/h2> 该银狐木马变种通过MSI安装包进行传播，结合了多种高级规避技术：<\/p> 伪装合法软件安装包<\/li> 使用白加黑技术加载恶意DLL<\/li> 文件填充技术绕过云查杀<\/li> 多阶段加载机制增加分析难度<\/li> 多种持久化技术确保长期驻留<\/li> <\/ol> 安全团队应重点关注MSI安装包的可疑行为，并加强对大尺寸DLL文件的检测能力。<\/p>

文件\/目录名<\/th>	描述<\/th> <\/tr> <\/thead>
1.4.6.950<\/td>	存放诺顿的一些依赖dll<\/td> <\/tr>
11UCore.dll<\/td>	核心恶意模块<\/td> <\/tr>
360sd_x64_std_7.0.0.1060.exe<\/td>	360杀毒安装包（实际未运行）<\/td> <\/tr>
NewCabs.exe<\/td>	Chrome安装包<\/td> <\/tr>
Nord.Common.dll<\/td>	诺顿相关文件<\/td> <\/tr>
NordUpdateService.exe<\/td>	诺顿相关文件（实际未运行）<\/td> <\/tr>
uc.exe<\/td>	核心文件，用于加载11UCore.dll<\/td> <\/tr>
unins000.*<\/td>	安装包相关文件<\/td> <\/tr>
update.cab<\/td>	安装包相关文件<\/td> <\/tr> <\/tbody> <\/table> 四、技术细节分析<\/h2> 4.1 执行流程<\/h3> 安装后执行白加黑程序`uc.exe<\/code><\/li>` `uc.exe<\/code>调用11UCore.dll<\/code>中的导出函数GetYYUCoreObj<\/code><\/li>` 11UCore.dll<\/code>作为shellcode loader，解密执行银狐木马核心功能模块<\/li> <\/ol> 4.2 反检测技术<\/h3> 文件大小填充技术<\/strong>: 将文件膨胀到200MB+，尝试绕过云查杀<\/li> 调试检测<\/strong>: 检测自身是否被调试<\/li> 字符串混淆<\/strong>: 使用混淆技术隐藏关键字符串<\/li> 动态获取函数地址<\/strong>: 增加静态分析难度<\/li> <\/ol> 4.3 持久化技术<\/h3> 通过PowerShell添加Windows Defender排除目录<\/li> 创建名为"Google TaskScheduled Manager 130.0.1.5"的计划任务<\/li> <\/ol> 4.4 Shellcode加载<\/h3> 从文件11UCore3.cpy<\/code>中读取加密的shellcode<\/li> 解密后通过回调函数EnumDesktopWindows<\/code>执行shellcode<\/li> 在内存中加载dll文件（银狐木马上线模块）<\/li> <\/ol> 五、木马配置信息<\/h2> 内存中发现的配置信息：<\/p> \|p1:23.133.4.3\|o1:6666\|t1:1\|p2:23.133.4.3\|o2:7777\|t2:1\|p3:127.0.0.1\|o3:80\|t3:1\|dd:1\|cl:1\|fz:默认\|bb:1.0\|bz:2025.2.28\|jp:0\|bh:0\|ll:0\|dl:1\|sh:0\|kl:0\|bd:0 <\/code><\/pre> 配置参数解析：<\/p> p1\/p2: C2服务器IP (23.133.4.3)<\/li> o1\/o2: 端口 (6666, 7777)<\/li> t1\/t2: 连接类型<\/li> p3\/o3: 本地回环测试配置<\/li> 其他参数为功能开关和版本信息<\/li> <\/ul> 六、IOC（失陷指标）<\/h2> 恶意IP<\/strong>: 23.133.4[.]3<\/li> 端口<\/strong>: 6666, 7777<\/li> 核心文件哈希<\/strong>: 11UCore.dll<\/li> uc.exe<\/li> 11UCore3.cpy<\/li> <\/ul> <\/li> 计划任务名称<\/strong>: "Google TaskScheduled Manager 130.0.1.5"<\/li> <\/ul> 七、防御建议<\/h2> 检测层面<\/strong>:<\/p> 监控异常MSI安装包行为<\/li> 检测200MB+的异常DLL文件<\/li> 监控PowerShell添加Defender排除目录的操作<\/li> 检测"Google TaskScheduled Manager"相关计划任务<\/li> <\/ul> <\/li> 防护层面<\/strong>:<\/p> 阻止与IOC中IP的通信<\/li> 限制MSI安装包的执行权限<\/li> 启用行为检测对抗无文件攻击<\/li> <\/ul> <\/li> 响应层面<\/strong>:<\/p> 检查系统是否存在上述文件和计划任务<\/li> 分析内存中是否存在银狐木马特征<\/li> 彻底清除后检查其他持久化机制<\/li> <\/ul> <\/li> <\/ol> 八、总结<\/h2> 该银狐木马变种通过MSI安装包进行传播，结合了多种高级规避技术：<\/p> 伪装合法软件安装包<\/li> 使用白加黑技术加载恶意DLL<\/li> 文件填充技术绕过云查杀<\/li> 多阶段加载机制增加分析难度<\/li> 多种持久化技术确保长期驻留<\/li> <\/ol> 安全团队应重点关注MSI安装包的可疑行为，并加强对大尺寸DLL文件的检测能力。<\/p>

银狐木马伪装投毒分析技术文档<\/h1>

一、样本概述<\/h2> 银狐木马是一种通过MSI安装包进行传播的恶意软件，最新样本分析时间为2025年3月27日。该样本伪装成"Google Ai Browser v2.3.8"进行传播，采用多种技术手段绕过安全检测并实现持久化攻击。<\/p>

三、安装行为分析<\/h2>

3.1 默认安装路径<\/h3> C:\Program Files (x86)\Mancyag\Google Ai Browser v2.3.8\<\/code><\/p>

四、技术细节分析<\/h2>

一、样本概述<\/h2>
银狐木马是一种通过MSI安装包进行传播的恶意软件，最新样本分析时间为2025年3月27日。该样本伪装成"Google Ai Browser v2.3.8"进行传播，采用多种技术手段绕过安全检测并实现持久化攻击。<\/p>

3.1 默认安装路径<\/h3>
`C:\Program Files (x86)\Mancyag\Google Ai Browser v2.3.8\<\/code><\/p>`