银狐木马伪装投毒分析
字数 1720 2025-08-30 06:50:35

银狐木马伪装投毒分析技术文档

一、样本概述

银狐木马是一种通过MSI安装包进行传播的恶意软件,最新样本分析时间为2025年3月27日。该样本伪装成"Google Ai Browser v2.3.8"进行传播,采用多种技术手段绕过安全检测并实现持久化攻击。

二、样本基本信息

  • 样本类型: MSI安装包
  • 伪装应用: Google Ai Browser v2.3.8
  • 核心模块: 11UCore.dll
  • 编译时间: 2025-03-19
  • 文件大小: 超过200MB(使用填充技术膨胀)

三、安装行为分析

3.1 默认安装路径

C:\Program Files (x86)\Mancyag\Google Ai Browser v2.3.8\

3.2 释放文件结构

文件/目录名 描述
1.4.6.950 存放诺顿的一些依赖dll
11UCore.dll 核心恶意模块
360sd_x64_std_7.0.0.1060.exe 360杀毒安装包(实际未运行)
NewCabs.exe Chrome安装包
Nord.Common.dll 诺顿相关文件
NordUpdateService.exe 诺顿相关文件(实际未运行)
uc.exe 核心文件,用于加载11UCore.dll
unins000.* 安装包相关文件
update.cab 安装包相关文件

四、技术细节分析

4.1 执行流程

  1. 安装后执行白加黑程序uc.exe
  2. uc.exe调用11UCore.dll中的导出函数GetYYUCoreObj
  3. 11UCore.dll作为shellcode loader,解密执行银狐木马核心功能模块

4.2 反检测技术

  1. 文件大小填充技术: 将文件膨胀到200MB+,尝试绕过云查杀
  2. 调试检测: 检测自身是否被调试
  3. 字符串混淆: 使用混淆技术隐藏关键字符串
  4. 动态获取函数地址: 增加静态分析难度

4.3 持久化技术

  1. 通过PowerShell添加Windows Defender排除目录
  2. 创建名为"Google TaskScheduled Manager 130.0.1.5"的计划任务

4.4 Shellcode加载

  1. 从文件11UCore3.cpy中读取加密的shellcode
  2. 解密后通过回调函数EnumDesktopWindows执行shellcode
  3. 在内存中加载dll文件(银狐木马上线模块)

五、木马配置信息

内存中发现的配置信息:

|p1:23.133.4.3|o1:6666|t1:1|p2:23.133.4.3|o2:7777|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2025.2.28|jp:0|bh:0|ll:0|dl:1|sh:0|kl:0|bd:0

配置参数解析:

  • p1/p2: C2服务器IP (23.133.4.3)
  • o1/o2: 端口 (6666, 7777)
  • t1/t2: 连接类型
  • p3/o3: 本地回环测试配置
  • 其他参数为功能开关和版本信息

六、IOC(失陷指标)

  • 恶意IP: 23.133.4[.]3
  • 端口: 6666, 7777
  • 核心文件哈希:
    • 11UCore.dll
    • uc.exe
    • 11UCore3.cpy
  • 计划任务名称: "Google TaskScheduled Manager 130.0.1.5"

七、防御建议

  1. 检测层面:

    • 监控异常MSI安装包行为
    • 检测200MB+的异常DLL文件
    • 监控PowerShell添加Defender排除目录的操作
    • 检测"Google TaskScheduled Manager"相关计划任务

  2. 防护层面:

    • 阻止与IOC中IP的通信
    • 限制MSI安装包的执行权限
    • 启用行为检测对抗无文件攻击

  3. 响应层面:

    • 检查系统是否存在上述文件和计划任务
    • 分析内存中是否存在银狐木马特征
    • 彻底清除后检查其他持久化机制

八、总结

该银狐木马变种通过MSI安装包进行传播,结合了多种高级规避技术:

  1. 伪装合法软件安装包
  2. 使用白加黑技术加载恶意DLL
  3. 文件填充技术绕过云查杀
  4. 多阶段加载机制增加分析难度
  5. 多种持久化技术确保长期驻留

安全团队应重点关注MSI安装包的可疑行为,并加强对大尺寸DLL文件的检测能力。

银狐木马伪装投毒分析技术文档 一、样本概述 银狐木马是一种通过MSI安装包进行传播的恶意软件,最新样本分析时间为2025年3月27日。该样本伪装成"Google Ai Browser v2.3.8"进行传播,采用多种技术手段绕过安全检测并实现持久化攻击。 二、样本基本信息 样本类型 : MSI安装包 伪装应用 : Google Ai Browser v2.3.8 核心模块 : 11UCore.dll 编译时间 : 2025-03-19 文件大小 : 超过200MB(使用填充技术膨胀) 三、安装行为分析 3.1 默认安装路径 C:\Program Files (x86)\Mancyag\Google Ai Browser v2.3.8\ 3.2 释放文件结构 | 文件/目录名 | 描述 | |------------|------| | 1.4.6.950 | 存放诺顿的一些依赖dll | | 11UCore.dll | 核心恶意模块 | | 360sd_ x64_ std_ 7.0.0.1060.exe | 360杀毒安装包(实际未运行) | | NewCabs.exe | Chrome安装包 | | Nord.Common.dll | 诺顿相关文件 | | NordUpdateService.exe | 诺顿相关文件(实际未运行) | | uc.exe | 核心文件,用于加载11UCore.dll | | unins000.* | 安装包相关文件 | | update.cab | 安装包相关文件 | 四、技术细节分析 4.1 执行流程 安装后执行白加黑程序 uc.exe uc.exe 调用 11UCore.dll 中的导出函数 GetYYUCoreObj 11UCore.dll 作为shellcode loader,解密执行银狐木马核心功能模块 4.2 反检测技术 文件大小填充技术 : 将文件膨胀到200MB+,尝试绕过云查杀 调试检测 : 检测自身是否被调试 字符串混淆 : 使用混淆技术隐藏关键字符串 动态获取函数地址 : 增加静态分析难度 4.3 持久化技术 通过PowerShell添加Windows Defender排除目录 创建名为"Google TaskScheduled Manager 130.0.1.5"的计划任务 4.4 Shellcode加载 从文件 11UCore3.cpy 中读取加密的shellcode 解密后通过回调函数 EnumDesktopWindows 执行shellcode 在内存中加载dll文件(银狐木马上线模块) 五、木马配置信息 内存中发现的配置信息: 配置参数解析: p1/p2: C2服务器IP (23.133.4.3) o1/o2: 端口 (6666, 7777) t1/t2: 连接类型 p3/o3: 本地回环测试配置 其他参数为功能开关和版本信息 六、IOC(失陷指标) 恶意IP : 23.133.4[ . ]3 端口 : 6666, 7777 核心文件哈希 : 11UCore.dll uc.exe 11UCore3.cpy 计划任务名称 : "Google TaskScheduled Manager 130.0.1.5" 七、防御建议 检测层面 : 监控异常MSI安装包行为 检测200MB+的异常DLL文件 监控PowerShell添加Defender排除目录的操作 检测"Google TaskScheduled Manager"相关计划任务 防护层面 : 阻止与IOC中IP的通信 限制MSI安装包的执行权限 启用行为检测对抗无文件攻击 响应层面 : 检查系统是否存在上述文件和计划任务 分析内存中是否存在银狐木马特征 彻底清除后检查其他持久化机制 八、总结 该银狐木马变种通过MSI安装包进行传播,结合了多种高级规避技术: 伪装合法软件安装包 使用白加黑技术加载恶意DLL 文件填充技术绕过云查杀 多阶段加载机制增加分析难度 多种持久化技术确保长期驻留 安全团队应重点关注MSI安装包的可疑行为,并加强对大尺寸DLL文件的检测能力。