銀狐木馬概述(shu)

近(jin)一年來，銀狐木(mu)馬(ma)傳播(bo)勢頭居(ju)高不下，傳播手段也是(shi)花樣(yang)百出，儼(yan)然已經成為近期國內最為活躍的木馬(ma)團(tuan)伙(huo)之一。進入6月(yue)以來(lai)，其(qi)傳播(bo)態勢進一(yi)步抬頭(tou)。360安全大(da)腦在其傳播高峰(feng)期的數據顯示，曾出現(xian)過(guo)日(ri)均攔(lan)截(jie)近(jin)10萬次木馬傳播的記(ji)錄，并曾單日(ri)處理銀狐近200種各類免殺(sha)變種的情(qing)況。同時，其用于(yu)傳播的釣魚攻(gong)擊手段也在(zai)不斷更(geng)新(xin)，近期更(geng)是出(chu)現(xian)以(yi)“防范(fan)銀狐木馬”“公職人(ren)員違規亂吃喝(he)處罰名單自查”為文件名的釣魚攻擊，堪稱“反(fan)向(xiang)操作(zuo)”大師，令人防(fang)不勝(sheng)防(fang)。

當前版本銀(yin)狐木馬的一般攻擊流程示意圖如下：

?

圖1. 當(dang)前版本銀狐木(mu)馬典型攻擊流程示意(yi)圖?

360快速阻斷(duan)木(mu)馬傳播

面對快(kuai)速傳播而又(you)更新頻繁的木(mu)馬，360安全大腦利用云(yun)安全立體防(fang)護體系，進行了(le)多維(wei)度多技術手(shou)段的有效阻擊。

銀狐木馬傳(chuan)播所遇(yu)到(dao)的第(di)一(yi)道防(fang)線便是(shi)360下載安(an)全防護。360下載安全支持釘釘、微信、QQ等各類銀狐木(mu)馬傳播(bo)中利用的通訊軟件，實(shi)現對處(chu)于傳播初期(qi)階段(duan)的木馬第一時間進行自動(dong)查殺。

?

圖(tu)2. 360攔截(jie)銀狐木馬下載(zai)?

面對(dui)360的(de)防(fang)御，攻擊者也在(zai)攻擊手(shou)段上使出了(le)渾身解數(shu)。我(wo)們總結了銀狐(hu)木(mu)馬團伙最近(jin)使用到的攻擊手段，主要有如下幾類(lei)：

l多文件(jian)攻擊
攻(gong)擊者(zhe)在發送的木馬(ma)壓(ya)縮包中摻入大量(liang)正常、無關(guan)文件，試圖以(yi)此來擾亂安全軟件的(de)視線。安全軟(ruan)件在(zai)對壓(ya)縮包進行檢查時，需要解壓(ya)其中的文件才能進行有效掃描。而(er)攻擊者用(yong)這種方式試(shi)圖(tu)來(lai)增加安(an)全(quan)軟件的解壓分析(xi)失敗(bai)率。

l大(da)文件攻擊
這是一類歷史比較(jiao)久遠的攻擊(ji)方式。攻擊(ji)者(zhe)用此(ci)類方式(shi)，阻(zu)止安全軟件(jian)對樣本的采樣收集，試圖延長自身(shen)的生(sheng)存周期。

l加密壓(ya)縮包(bao)攻擊
攻擊者還可能使用帶密(mi)碼(ma)的壓縮包來傳遞(di)木馬。如果用戶未能向(xiang)安全軟件提(ti)供解壓密碼，則會直接影(ying)響安全軟(ruan)件的(de)安全分析能力。

l“配置型白利(li)用”攻擊
某些正(zheng)常(chang)軟件(jian)的行為(wei)可由其配置文件在一定范圍(wei)內進(jin)行更(geng)改和指定。攻擊者利用這類文件發起攻擊時，安全軟(ruan)件如果僅檢查可執行文(wen)件的安全性(xing)，可能無法有效識別(bie)存在于配(pei)置文件中的(de)潛在風(feng)險(xian)。

面對以(yi)上種種攻擊形式，我們依托大模(mo)型輔助的智(zhi)能(neng)分析系統，將(jiang)安全(quan)專家的分析經驗匯集于模(mo)型之(zhi)中(zhong)，快速(su)從各類掃描數(shu)據中(zhong)找出符合以(yi)上攻(gong)擊(ji)特性的樣本(ben)，對其(qi)實施自動阻斷(duan)攔截。此(ci)外，還(huan)會對無法(fa)識別的可疑文件進行標記，并監控其后續(xu)行為。

對于傳輸過程中的漏(lou)網(wang)之(zhi)魚，360主動(dong)防御系(xi)統會對(dui)用戶電腦提(ti)供強力(li)保(bao)護。近期，銀狐木馬(ma)常用的攻擊包括PoolParty注入(ru)、模擬用戶(hu)點(dian)擊、WFP斷(duan)網、安(an)全(quan)軟件驅動(dong)利用、Windows?Defender策略濫用(yong)等。360主動防(fang)御在(zai)對(dui)抗中(zhong)不(bu)斷成(cheng)長，對(dui)這些(xie)攻擊均能進行(xing)有效防(fang)御，并對(dui)發現的(de)漏網(wang)之魚(yu)進行(xing)清剿。

?

圖(tu)3. 360攔(lan)截銀狐木馬釋放惡意驅動(dong)

360智能(neng)查殺能(neng)力(li)

僅僅能防御病毒還不夠，360還要對(dui)已(yi)經(jing)中招的設備進(jin)行查殺清理。

我(wo)們(men)在2023年就推出了遠控(kong)·勒索(suo)急救模式。對于已經中招的設備(bei)，360可以一鍵阻斷攻(gong)擊者對電腦的控制，為后續(xu)木(mu)馬的清(qing)理提供寶貴的時間(jian)。

?

圖(tu)4. 360遠控·勒(le)索(suo)急救模式

對(dui)頑固木(mu)馬的清理(li)，360支持對(dui)各類驅(qu)動(dong)級木馬的清(qing)理、對(dui)被篡改的系統配置進行修(xiu)復。依托(tuo)這些能力，我們能夠徹底(di)清除(chu)銀狐木馬對(dui)系統的破壞。同時，我們還支持了(le)對被銀狐木馬(ma)利(li)用的IPGuard、安在管理軟(ruan)件、陽途管理軟(ruan)件等軟件的智(zhi)能卸載。目前，我們可以(yi)自信地(di)說，360是(shi)國內清理能(neng)力最(zui)為(wei)全(quan)面的安全(quan)軟件(jian)。

樣(yang)本(ben)分析(xi)

當(dang)前，銀狐木馬實際上是一大類(lei)釣魚遠控(kong)木(mu)馬的(de)總稱。而目前流(liu)行的銀狐(hu)木馬旗下，包含有多個不同制作團(tuan)隊(dui)和傳播團(tuan)伙(huo)開(kai)發(fa)的(de)多(duo)款(kuan)木(mu)馬。對木(mu)馬進(jin)行溯源可以發現，其參與(yu)成員多(duo)數(shu)位于(yu)東南亞地(di)區，此(ci)外(wai)也有部(bu)分國內灰黑產(chan)成員參與(yu)。他們利(li)用Telegram網(wang)絡組織進行聯系，不(bu)同(tong)團伙間有較(jiao)為顯(xian)著的技術差(cha)異，但(dan)同時也保持(chi)著較為(wei)頻繁(fan)的技(ji)術交(jiao)流。

下面(mian)，我們(men)選取了近期較為典型的(de)一(yi)個活躍樣本進行分析說明(ming)。該樣本壓縮包的文件名及其內部(bu)文件組成為：

最新查殺防護(hu)Killingtools6V-069-VN.zip

123.txt

最新(xin)查殺防護Killingtools6V-069-VN.exe

壓縮包中(zhong)的文件(jian)及“123.txt”的文件內容如下圖：

?

圖5. 壓縮包中(zhong)的文(wen)件(jian)及文(wen)本內容

木馬安裝

該木馬首次運行的時候會判斷當前進程名(ming)是不是svchost.exe、winlogon.exe、vds.exe、vssvc.exe、explorer.exe。如果不是則通(tong)(tong)過(guo)查找vss服(fu)務啟(qi)動vssvc.exe進程，再通(tong)(tong)過(guo)線(xian)程池方式注(zhu)入(ru)vssvc.exe進程當中，實(shi)現木馬的隱(yin)藏運(yun)行。

?

圖6. 木(mu)馬通過線程(cheng)池(chi)注(zhu)(zhu)入手段注(zhu)(zhu)入vssvc.exe進程(cheng)中

在(zai)木馬(ma)注入完成后，會遍歷進(jin)程查(cha)詢是否有(you)ZhuDongFangYu.exe和360tray.exe進(jin)程。如果(guo)存在的(de)話(hua)則會(hui)斷開網(wang)絡(luo)。

?

圖(tu)7. 木馬發現360后(hou)便(bian)會(hui)斷(duan)開網絡?

然后，木馬會在(zai)系統驅(qu)動目錄(lu)下(xia)（通常為C:\Windows\system32\drivers）釋放被(bei)利用的第三方驅(qu)動(dong)，并通過SCM注(zhu)冊驅(qu)動(dong)服務，最后啟(qi)動(dong)該(gai)服務。

?

圖8. 將釋放的驅動(dong)注冊為服務并啟動(dong)?

木(mu)馬通過(guo)這個(ge)釋(shi)放出(chu)的驅(qu)動來關閉(bi)ZhuDongFangYu.exe和360tray.exe，成功后(hou)再恢復網絡。

完成對(dui)安(an)全軟件(jian)的(de)截殺(sha)后(hou)，銀狐會釋(shi)放一階(jie)段(duan)木馬，釋(shi)放的(de)木馬主體路徑如下：

C:\Program Files\Internet Explorer\nvsc.exe

此外還會釋放木馬加載程(cheng)序glbdll.dll，以及加(jia)(jia)密數據文件glbdll.bin。最終通(tong)過COM方式添加(jia)(jia)計(ji)劃任務。

?

圖9. 木馬添加計劃任務?

木馬執行

最后，木馬會加(jia)載核心的遠(yuan)控(kong)(kong)木馬。該遠(yuan)控(kong)(kong)木馬具備常規的遠(yuan)控(kong)(kong)功能(neng)(neng)，如(ru)獲取(qu)主機信息、截(jie)屏(ping)、鍵(jian)盤記(ji)錄等功能(neng)(neng)。

?

圖(tu)10. 加載遠(yuan)控木馬?

遠控木馬獲取剪(jian)貼板(ban)內容后(hou)，會把其內容寫入到(dao)key文(wen)件中：

C:\Program Files\Internet Explorer\temp.key

遠控木馬(ma)上線C2的IP地址為13.230.98.233。在(zai)木馬在(zai)上線前，會大量解析訪問正常站(zhan)點，以此來躲(duo)避一些網絡防護(hu)監(jian)控(kong)的監(jian)測。

?

圖11. 木馬獲取(qu)剪切板內容?

完成一階段木馬安裝(zhuang)(zhuang)后(hou)，攻擊者會手動下發二階段木馬安裝(zhuang)(zhuang)包(bao)并(bing)手動運行安裝(zhuang)(zhuang)，實現對被攻擊設備的(de)長期控(kong)制。

發(fa)起電詐攻擊(ji)

在(zai)完成二階段(duan)遠(yuan)控的(de)安裝后(hou)，攻擊(ji)者還(huan)會利用用戶(hu)不在(zai)電腦前的(de)時(shi)機再次快速(su)向用戶(hu)的(de)好友傳播木馬(ma)，并嘗(chang)試發起電詐攻擊(ji)。

當前，銀狐木馬會利用(yong)被(bei)害者電(dian)腦中(zhong)(zhong)的微信、釘釘群，發(fa)下圖中(zhong)(zhong)的釣魚文(wen)檔，誘導其他用(yong)戶(hu)支(zhi)付(fu)寶掃(sao)碼。

?

圖12. 攻擊者通過(guo)電(dian)詐(zha)攻擊發送的釣魚文檔(dang)?

而其二維碼(ma)中對應的內容通常是一個釣(diao)魚網站，比如，對上圖(tu)中的二維碼(ma)進行解(jie)碼(ma)，可(ke)以看到鏈(lian)接內容如下圖(tu)：

?

圖13. 對釣(diao)魚文檔中的二維碼(ma)進行解碼(ma)分析

此外，也(ye)有類似下面的釣(diao)(diao)魚(yu)(yu)鏈接(jie)。兩者的共同特點是利用支(zhi)付寶(bao)的功能頁(ye)面跳轉，偽裝其釣(diao)(diao)魚(yu)(yu)鏈接(jie)，使用戶更(geng)難發現其釣(diao)(diao)魚(yu)(yu)攻擊，而且其最(zui)終(zhong)釣(diao)(diao)魚(yu)(yu)落地頁(ye)面，也(ye)是被掛(gua)馬的正常網站。

?

圖(tu)14. 另一些二維碼中(zhong)的掛馬(ma)站點連(lian)接

如(ru)果用戶(hu)(hu)掃描其釣魚二維碼，就會看到(dao)類(lei)似于如(ru)下頁(ye)面的釣魚網頁(ye)。攻擊者會在站點中進一步騙取(qu)用戶(hu)(hu)的個人信(xin)息、銀行賬戶(hu)(hu)信(xin)息，最終誘(you)導用戶(hu)(hu)實施(shi)轉賬支付，騙取(qu)用戶(hu)(hu)金融資產。

?

圖(tu)15. 最終呈現在用戶面前(qian)的釣(diao)魚頁面?

攔(lan)截防(fang)護(hu)

360安(an)全(quan)大腦可攔截并(bing)查殺此類木馬，已安(an)裝有360終端安(an)全(quan)產品的用戶不必太過擔心。

?

圖16. 360安(an)全大腦有效攔截上述分析(xi)的銀狐木馬

安全建議

l強化終端防護(hu)
在企業內部設備(bei)中部署安(an)全軟件，開啟(qi)實時(shi)監控與自動(dong)更新，若安(an)全軟件異常(chang)退出，應立即斷網查(cha)殺。

l嚴控(kong)文件(jian)風(feng)險
對不(bu)明壓(ya)縮(suo)包及(ji)可(ke)執行(xing)文(wen)件，堅持不(bu)解壓(ya)、不(bu)運行(xing)、不(bu)輕信。有條(tiao)件的情(qing)況下，應將可(ke)疑文(wen)件上傳至可(ke)信的安全分析(xi)平臺進行(xing)檢測和(he)上報。

l警(jing)惕釣(diao)魚(yu)信(xin)息
收到含(han)“財稅”“自查”甚至是此(ci)次(ci)傳(chuan)播(bo)中出(chu)現的(de)“防范木馬”等敏感關鍵詞的(de)通知文件(jian)，務必通過(guo)官(guan)網、官(guan)方(fang)APP或(huo)電話等方(fang)式(shi)進行二次(ci)核(he)實，勿直(zhi)接點擊鏈(lian)接或(huo)下載(zai)附件(jian)。

l規范軟(ruan)件(jian)下載
各類辦公軟件(jian)或(huo)工(gong)具軟件(jian)應從官網或(huo)企業內(nei)部平(ping)臺獲取，并(bing)檢(jian)查(cha)數字(zi)簽名(ming)。來(lai)自(zi)網盤或(huo)通信(xin)軟件(jian)中的文件(jian)下載后，要先經(jing)安全軟件(jian)掃(sao)描。

l及時應(ying)急處理
發現系統異常占用、賬號異地登(deng)錄等風險征兆，應盡(jin)快使用360等安全產品進行全面掃描(miao)，必要(yao)時重(zhong)裝系統。

l行業重點防護
如財(cai)稅或涉密(mi)等重點、敏感(gan)崗位，在業(ye)務高(gao)峰期執行文(wen)件應(ying)雙人復(fu)核，避免在公(gong)網(wang)環境中處理敏感(gan)數據(ju)。企業(ye)應(ying)通過EDR、EPP等安全系統(tong)，對(dui)惡意軟(ruan)件的運(yun)行及(ji)通信進行全方位告警和攔截。