不是,真没人敢说吗?免杀大佬加入黑灰产还打得过吗?
字数 1943 2025-08-19 12:41:16

银狐病毒样本深度分析与防御指南

一、概述

近期捕获的"银狐"病毒样本展现了高度进化的免杀技术,能够绕过主流安全软件的检测。该样本通过伪装成主流会议软件进行传播,利用搜索引擎高权重收录诱骗用户下载。本文档将详细分析该样本的技术特点并提供检测防御方案。

二、样本核心特点

  1. 高度隐蔽性:主流沙箱、EDR几乎无法检测
  2. 防御对抗增强:引入bypass检测、防病毒模拟器检测、RPC持久化
  3. 加载技术进化:采用多段内存加载、运行时动态解密
  4. 未来趋势:可能发展为rootkit类型的完全隐蔽后门

三、技术细节分析

1. 加载过程

  • 最小化API调用:攻击者使用最少的敏感API完成第一阶段shellcode加载,降低杀软检测风险
  • 寄存器跳转技巧
    • 使用jmp rbx而非更明显的jmp rax
    • 通过mov地址转移操作隐藏跳转意图
  • 8月样本更新:新增其他寄存器调用变体

2. 解密过程

  • 初始状态:shellcode中仅有一个有效call指令,后续字节全部加密
  • 解密机制
    • 类似CobaltStrike的睡眠解密技术
    • 运行时执行循环右移、减法和取反操作
    • 解密出的新函数执行异或解密
  • 关键函数unsigned char key = 0x91用于倒序解密整个shellcode

3. 环境检测与绕过

ETW和AMSI绕过

  • 技术实现:patch目标函数开头为0x3C字节(ret指令)
  • 效果:跳过扫描和日志输出功能

防病毒模拟器检测

  • 进程名检测:检查是否为:\myapp.exe(模拟进程名)
  • API哈希检测
    • 使用未公开函数获取ntdll导出表
    • 自定义ror算法计算apiHash
    • 命中3个Mpclient函数hash则返回错误码0xC0000462
  • 内核函数检测
    • NtIsProcessInJobNtCompressKey传入无效句柄
    • 检查是否返回虚拟模块预定值
  • COM对象检测:尝试加载无效COM类,检查返回值CLASS_E_CLASSNOTABAILABLE

沙箱检测

  • 内存分配测试:尝试分配大内存验证真实环境
  • 物理CPU检测VirtualAllocExNuma要求多物理CPU环境
  • 模块检测:检查SxIn.dll(360沙箱分析dll)是否加载
  • 硬件信息检查:获取SYSTEM_INFO结构体检查处理器数量
  • 时间加速检测
    • GetTickCount64测量Sleep前后时间差
    • 使用__rdtsc()检测环境加速

4. 防御削弱技术

  • 360杀软对抗
    • 扫描进程/服务/窗口类综合判断存在
    • 尝试通过API消息关闭360,失败则下载BYOVD驱动
  • Windows Defender对抗
    • 检测相关进程服务
    • 执行PowerShell命令添加排除目录: 
      C:\ProgramData
C:\User\Public
Program Files (x86) (8月新增)
  • 字符串加密:使用凯撒密码(固定key逐字节移位)

5. 持久化与后门

  • 文件下载
    • 从存储桶地址下载后门文件
    • 文件随机存储在C:\Users\PublicC:\ProgramData
    • 下载文件填充随机值避免固定hash
  • BYOVD驱动
    • 内存DLL形式解压
    • 使用RPC管道创建计划任务维持持久性
    • 驱动功能:通过控制码0x22E044和pid强制结束进程(支持Win11)
  • 后门加载
    • 白加黑配合两个加密payload文件
    • DLL使用VMProtect保护
    • RC4算法解密payload
    • 加载log.src解密得到内存dll(VMProtect保护)
    • 导出函数CLRCreateInstance创建持久化任务、禁用UAC
    • 加载vcxproj文件解密得到Gh0st变种后门

四、检测与防御方案

1. YARA规则检测

基于样本中的加解密函数代码创建YARA规则,重点关注:

  • 代码结构的连续性和固定性
  • 特定解密算法特征(如循环右移、减法、取反序列)

2. TTPs检测

根据攻击者战术、技术和过程(TTPs)建立检测特征:

  • 特定环境检测模式
  • 防御绕过技术序列
  • 持久化创建方法

3. IOC检测

文件哈希

B736A809E7A0F1603C97D43BBC7D2EA8A9CD080B 
A672825339ADBB5EEEF8176D161266D4E4A4A625 
E49938CB6C4CE0D73DB2B4A32018B1FF71A2D7F0 
9CAA4EC93CE1CD40BD5975645A110A4325310A3B 
D7F41D457C8358AF840B06914D1BC969EF7939D0 
48B2090FDCEA7D7C0EB1544EBCDAF911796A7F67

恶意域名

omss.oss-cn-hangzhou.aliyuncs.com
upitem.oss-cn-hangzhou.aliyuncs.com
1o2.oss-cn-beijing.aliyuncs.com
25o.oss-cn-beijing.aliyuncs.com
98o.oss-cn-beijing.aliyuncs.com
vauwjw.net
cinskw.net
hucgiu.net

五、防御建议

  1. 用户教育:警惕非官方渠道的会议软件下载
  2. 权限控制:限制PowerShell执行权限,监控排除目录修改
  3. 行为监控:关注异常的内存加载和动态解密行为
  4. 驱动加载控制:严格审核BYOVD驱动加载
  5. 网络监控:拦截已知恶意域名通信
  6. 多因素检测:结合静态特征与行为分析提高检测率

六、未来预测

根据样本进化趋势,预计可能出现:

  1. Rootkit级别的完全隐蔽后门
  2. 更复杂的内存驻留技术
  3. 针对云环境的新型攻击手法
  4. 硬件级隐蔽通道的利用

安全团队应持续跟踪银狐家族样本更新,及时调整防御策略。

银狐病毒样本深度分析与防御指南 一、概述 近期捕获的"银狐"病毒样本展现了高度进化的免杀技术,能够绕过主流安全软件的检测。该样本通过伪装成主流会议软件进行传播,利用搜索引擎高权重收录诱骗用户下载。本文档将详细分析该样本的技术特点并提供检测防御方案。 二、样本核心特点 高度隐蔽性 :主流沙箱、EDR几乎无法检测 防御对抗增强 :引入bypass检测、防病毒模拟器检测、RPC持久化 加载技术进化 :采用多段内存加载、运行时动态解密 未来趋势 :可能发展为rootkit类型的完全隐蔽后门 三、技术细节分析 1. 加载过程 最小化API调用 :攻击者使用最少的敏感API完成第一阶段shellcode加载,降低杀软检测风险 寄存器跳转技巧 : 使用 jmp rbx 而非更明显的 jmp rax 通过 mov 地址转移操作隐藏跳转意图 8月样本更新 :新增其他寄存器调用变体 2. 解密过程 初始状态 :shellcode中仅有一个有效 call 指令,后续字节全部加密 解密机制 : 类似CobaltStrike的睡眠解密技术 运行时执行循环右移、减法和取反操作 解密出的新函数执行异或解密 关键函数 : unsigned char key = 0x91 用于倒序解密整个shellcode 3. 环境检测与绕过 ETW和AMSI绕过 技术实现 :patch目标函数开头为 0x3C 字节(ret指令) 效果 :跳过扫描和日志输出功能 防病毒模拟器检测 进程名检测 :检查是否为 :\myapp.exe (模拟进程名) API哈希检测 : 使用未公开函数获取ntdll导出表 自定义ror算法计算apiHash 命中3个Mpclient函数hash则返回错误码 0xC0000462 内核函数检测 : NtIsProcessInJob 和 NtCompressKey 传入无效句柄 检查是否返回虚拟模块预定值 COM对象检测 :尝试加载无效COM类,检查返回值 CLASS_E_CLASSNOTABAILABLE 沙箱检测 内存分配测试 :尝试分配大内存验证真实环境 物理CPU检测 : VirtualAllocExNuma 要求多物理CPU环境 模块检测 :检查 SxIn.dll (360沙箱分析dll)是否加载 硬件信息检查 :获取 SYSTEM_INFO 结构体检查处理器数量 时间加速检测 : GetTickCount64 测量 Sleep 前后时间差 使用 __rdtsc() 检测环境加速 4. 防御削弱技术 360杀软对抗 : 扫描进程/服务/窗口类综合判断存在 尝试通过API消息关闭360,失败则下载BYOVD驱动 Windows Defender对抗 : 检测相关进程服务 执行PowerShell命令添加排除目录: 字符串加密 :使用凯撒密码(固定key逐字节移位) 5. 持久化与后门 文件下载 : 从存储桶地址下载后门文件 文件随机存储在 C:\Users\Public 和 C:\ProgramData 下载文件填充随机值避免固定hash BYOVD驱动 : 内存DLL形式解压 使用RPC管道创建计划任务维持持久性 驱动功能:通过控制码 0x22E044 和pid强制结束进程(支持Win11) 后门加载 : 白加黑配合两个加密payload文件 DLL使用VMProtect保护 RC4算法解密payload 加载 log.src 解密得到内存dll(VMProtect保护) 导出函数 CLRCreateInstance 创建持久化任务、禁用UAC 加载 vcxproj 文件解密得到Gh0st变种后门 四、检测与防御方案 1. YARA规则检测 基于样本中的加解密函数代码创建YARA规则,重点关注: 代码结构的连续性和固定性 特定解密算法特征(如循环右移、减法、取反序列) 2. TTPs检测 根据攻击者战术、技术和过程(TTPs)建立检测特征: 特定环境检测模式 防御绕过技术序列 持久化创建方法 3. IOC检测 文件哈希 : 恶意域名 : 五、防御建议 用户教育 :警惕非官方渠道的会议软件下载 权限控制 :限制PowerShell执行权限,监控排除目录修改 行为监控 :关注异常的内存加载和动态解密行为 驱动加载控制 :严格审核BYOVD驱动加载 网络监控 :拦截已知恶意域名通信 多因素检测 :结合静态特征与行为分析提高检测率 六、未来预测 根据样本进化趋势,预计可能出现: Rootkit级别的完全隐蔽后门 更复杂的内存驻留技术 针对云环境的新型攻击手法 硬件级隐蔽通道的利用 安全团队应持续跟踪银狐家族样本更新,及时调整防御策略。