银狐最新攻击样本加载过程分析与防御教学

前言概述

银狐黑客工具是近年来活跃的黑产团伙常用工具，2024年其攻击样本持续更新，采用多种免杀技术逃避检测。本文详细分析三个最新样本的加载过程，帮助安全研究人员了解其攻击手法。

样本一分析

样本特征

• 使用UPX加壳
• 编译时间：2024年2月
• 最终载荷：Gh0st RAT修改版

攻击流程

1. 初始阶段：

   • 样本脱壳后从C2服务器下载恶意文件到指定目录
   • 下载的恶意样本同样采用UPX加壳

2. 内存操作：

   VirtualAlloc(0, 0x1000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
   

   • 分配可执行内存空间
   • 在内存中解密出恶意模块

3. 载荷分析：

   • 解密出的模块导出函数表明是Gh0st RAT变种
   • 使用YARA签名确认其为Gh0st修改版

样本二分析

样本特征

• 编译时间：2024年4月
• 采用DLL侧加载技术

攻击流程

1. 文件检查：

   • YourPhone.exe检查同目录下是否存在mainframe.dll
   • 存在则加载mainframe.dll

2. 数据解密：

   ReadFile(hFile, lpBuffer, nNumberOfBytesToRead, lpNumberOfBytesRead, NULL);
   

   • 读取hpock.png文件内容到内存
   • 在内存中解密png文件内容

3. Shellcode执行：

   • 跳转执行解密出的shellcode
   • shellcode解压包含的payload代码
   • 最终执行payload导出函数

样本三分析

样本特征

• 采用AutoIt打包生成
• 编译时间：2024年4月
• 使用"白+黑"技术

攻击流程

1. 文件生成：

   • 解析AutoIt脚本
   • 在指定目录生成合法程序webprocess.exe和恶意模块libcef.dll

2. 侧加载攻击：

   • 启动webprocess.exe加载恶意libcef.dll
   • 解密程序中硬编码数据

3. 内存操作：

   VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
   memcpy(lpAddress, lpPayload, dwSize);
   

   • 分配内存并拷贝解密后的payload
   • 跳转执行payload入口代码

4. C2通信：

   • 执行payload导出函数JeffcEn
   • 连接C2服务器：156.237.223.130

威胁情报

1. 攻击特征：

   • 持续更新攻击样本
   • 采用多种免杀技术(UPX加壳、内存解密、白加黑等)
   • C2服务器IP需加入监控列表

2. 时间线：

   • 2024年2月：样本一变种出现
   • 2024年4月：样本二、三变种出现

防御建议

1. 检测方案：

   • 监控VirtualAlloc和memcpy等敏感API调用
   • 建立YARA规则检测Gh0st变种
   • 关注异常进程加载DLL行为

2. 防护措施：

   # 示例：监控异常进程创建
   Get-WmiObject -Query "SELECT * FROM Win32_ProcessStartTrace" | 
   Where-Object { $_.ProcessName -match "YourPhone|webprocess" }
   

   • 实施应用程序白名单
   • 监控AutoIt脚本执行
   • 阻止与已知C2 IP的通信

3. 内存防护：

   • 启用受控文件夹访问
   • 实施代码完整性保护

分析工具推荐

1. 静态分析：

   • PEiD/Exeinfo PE：检测加壳情况
   • IDA Pro：逆向分析

2. 动态分析：

   • Process Monitor：监控文件/注册表操作
   • x64dbg：调试分析

3. 内存分析：

   • Volatility：分析内存转储
   • YARA：特征检测

总结

银狐攻击样本展现出高度进化的免杀能力，安全团队需要：

1. 持续跟踪最新攻击样本
2. 建立多层防御体系
3. 加强端点检测与响应能力
4. 分享威胁情报

通过分析这些样本的加载过程，我们可以更好地理解攻击者的技术演进，并据此完善防御策略。