銀狐木馬概述

近一年來，銀狐木馬傳播勢(shì)頭居高不下，傳播手段也是花樣百出，儼然已經(jīng)成為近期國(guó)內(nèi)最為活躍的木馬團(tuán)伙之一。進(jìn)入6月以來，其傳播態(tài)勢(shì)進(jìn)一步抬頭。360安全大腦在其傳播高峰期的數(shù)據(jù)顯示，曾出現(xiàn)過日均攔截近10萬次木馬傳播的記錄，并曾單日處理銀狐近200種各類免殺變種的情況。同時(shí)，其用于傳播的釣魚攻擊手段也在不斷更新，近期更是出現(xiàn)以“防范銀狐木馬”“公職人員違規(guī)亂吃喝處罰名單自查”為文件名的釣魚攻擊，堪稱“反向操作”大師，令人防不勝防。

當(dāng)前版本銀狐木馬的一般攻擊流程示意圖如下：

?

圖1. 當(dāng)前版本銀狐木馬典型攻擊流程示意圖?

360快速阻斷木馬傳播

面對(duì)快速傳播而又更新頻繁的木馬，360安全大腦利用云安全立體防護(hù)體系，進(jìn)行了多維度多技術(shù)手段的有效阻擊。

銀狐木馬傳播所遇到的第一道防線便是360下載安全防護(hù)。360下載安全支持釘釘、微信、QQ等各類銀狐木馬傳播中利用的通訊軟件，實(shí)現(xiàn)對(duì)處于傳播初期階段的木馬第一時(shí)間進(jìn)行自動(dòng)查殺。

?

圖2. 360攔截銀狐木馬下載?

面對(duì)360的防御，攻擊者也在攻擊手段上使出了渾身解數(shù)。我們總結(jié)了銀狐木馬團(tuán)伙最近使用到的攻擊手段，主要有如下幾類：

l多文件攻擊
攻擊者在發(fā)送的木馬壓縮包中摻入大量正常、無關(guān)文件，試圖以此來擾亂安全軟件的視線。安全軟件在對(duì)壓縮包進(jìn)行檢查時(shí)，需要解壓其中的文件才能進(jìn)行有效掃描。而攻擊者用這種方式試圖來增加安全軟件的解壓分析失敗率。

l大文件攻擊
這是一類歷史比較久遠(yuǎn)的攻擊方式。攻擊者用此類方式，阻止安全軟件對(duì)樣本的采樣收集，試圖延長(zhǎng)自身的生存周期。

l加密壓縮包攻擊
攻擊者還可能使用帶密碼的壓縮包來傳遞木馬。如果用戶未能向安全軟件提供解壓密碼，則會(huì)直接影響安全軟件的安全分析能力。

l“配置型白利用”攻擊
某些正常軟件的行為可由其配置文件在一定范圍內(nèi)進(jìn)行更改和指定。攻擊者利用這類文件發(fā)起攻擊時(shí)，安全軟件如果僅檢查可執(zhí)行文件的安全性，可能無法有效識(shí)別存在于配置文件中的潛在風(fēng)險(xiǎn)。

面對(duì)以上種種攻擊形式，我們依托大模型輔助的智能分析系統(tǒng)，將安全專家的分析經(jīng)驗(yàn)匯集于模型之中，快速?gòu)母黝悞呙钄?shù)據(jù)中找出符合以上攻擊特性的樣本，對(duì)其實(shí)施自動(dòng)阻斷攔截。此外，還會(huì)對(duì)無法識(shí)別的可疑文件進(jìn)行標(biāo)記，并監(jiān)控其后續(xù)行為。

對(duì)于傳輸過程中的漏網(wǎng)之魚，360主動(dòng)防御系統(tǒng)會(huì)對(duì)用戶電腦提供強(qiáng)力保護(hù)。近期，銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點(diǎn)擊、WFP斷網(wǎng)、安全軟件驅(qū)動(dòng)利用、Windows?Defender策略濫用等。360主動(dòng)防御在對(duì)抗中不斷成長(zhǎng)，對(duì)這些攻擊均能進(jìn)行有效防御，并對(duì)發(fā)現(xiàn)的漏網(wǎng)之魚進(jìn)行清剿。

?

圖3. 360攔截銀狐木馬釋放惡意驅(qū)動(dòng)

360智能查殺能力

僅僅能防御病毒還不夠，360還要對(duì)已經(jīng)中招的設(shè)備進(jìn)行查殺清理。

我們?cè)?/span>2023年就推出了遠(yuǎn)控·勒索急救模式。對(duì)于已經(jīng)中招的設(shè)備，360可以一鍵阻斷攻擊者對(duì)電腦的控制，為后續(xù)木馬的清理提供寶貴的時(shí)間。

?

圖4. 360遠(yuǎn)控·勒索急救模式

對(duì)頑固木馬的清理，360支持對(duì)各類驅(qū)動(dòng)級(jí)木馬的清理、對(duì)被篡改的系統(tǒng)配置進(jìn)行修復(fù)。依托這些能力，我們能夠徹底清除銀狐木馬對(duì)系統(tǒng)的破壞。同時(shí)，我們還支持了對(duì)被銀狐木馬利用的IPGuard、安在管理軟件、陽途管理軟件等軟件的智能卸載。目前，我們可以自信地說，360是國(guó)內(nèi)清理能力最為全面的安全軟件。

樣本分析

當(dāng)前，銀狐木馬實(shí)際上是一大類釣魚遠(yuǎn)控木馬的總稱。而目前流行的銀狐木馬旗下，包含有多個(gè)不同制作團(tuán)隊(duì)和傳播團(tuán)伙開發(fā)的多款木馬。對(duì)木馬進(jìn)行溯源可以發(fā)現(xiàn)，其參與成員多數(shù)位于東南亞地區(qū)，此外也有部分國(guó)內(nèi)灰黑產(chǎn)成員參與。他們利用Telegram網(wǎng)絡(luò)組織進(jìn)行聯(lián)系，不同團(tuán)伙間有較為顯著的技術(shù)差異，但同時(shí)也保持著較為頻繁的技術(shù)交流。

下面，我們選取了近期較為典型的一個(gè)活躍樣本進(jìn)行分析說明。該樣本壓縮包的文件名及其內(nèi)部文件組成為：

最新查殺防護(hù)Killingtools6V-069-VN.zip

123.txt

最新查殺防護(hù)Killingtools6V-069-VN.exe

壓縮包中的文件及“123.txt”的文件內(nèi)容如下圖：

?

圖5. 壓縮包中的文件及文本內(nèi)容

木馬安裝

該木馬首次運(yùn)行的時(shí)候會(huì)判斷當(dāng)前進(jìn)程名是不是svchost.exe、winlogon.exe、vds.exe、vssvc.exe、explorer.exe。如果不是則通過查找vss服務(wù)啟動(dòng)vssvc.exe進(jìn)程，再通過線程池方式注入vssvc.exe進(jìn)程當(dāng)中，實(shí)現(xiàn)木馬的隱藏運(yùn)行。

?

圖6. 木馬通過線程池注入手段注入vssvc.exe進(jìn)程中

在木馬注入完成后，會(huì)遍歷進(jìn)程查詢是否有ZhuDongFangYu.exe和360tray.exe進(jìn)程。如果存在的話則會(huì)斷開網(wǎng)絡(luò)。

?

圖7. 木馬發(fā)現(xiàn)360后便會(huì)斷開網(wǎng)絡(luò)?

然后，木馬會(huì)在系統(tǒng)驅(qū)動(dòng)目錄下（通常為C:\Windows\system32\drivers）釋放被利用的第三方驅(qū)動(dòng)，并通過SCM注冊(cè)驅(qū)動(dòng)服務(wù)，最后啟動(dòng)該服務(wù)。

?

圖8. 將釋放的驅(qū)動(dòng)注冊(cè)為服務(wù)并啟動(dòng)?

木馬通過這個(gè)釋放出的驅(qū)動(dòng)來關(guān)閉ZhuDongFangYu.exe和360tray.exe，成功后再恢復(fù)網(wǎng)絡(luò)。

完成對(duì)安全軟件的截殺后，銀狐會(huì)釋放一階段木馬，釋放的木馬主體路徑如下：

C:\Program Files\Internet Explorer\nvsc.exe

此外還會(huì)釋放木馬加載程序glbdll.dll，以及加密數(shù)據(jù)文件glbdll.bin。最終通過COM方式添加計(jì)劃任務(wù)。

?

圖9. 木馬添加計(jì)劃任務(wù)?

木馬執(zhí)行

最后，木馬會(huì)加載核心的遠(yuǎn)控木馬。該遠(yuǎn)控木馬具備常規(guī)的遠(yuǎn)控功能，如獲取主機(jī)信息、截屏、鍵盤記錄等功能。

?

圖10. 加載遠(yuǎn)控木馬?

遠(yuǎn)控木馬獲取剪貼板內(nèi)容后，會(huì)把其內(nèi)容寫入到key文件中：

C:\Program Files\Internet Explorer\temp.key

遠(yuǎn)控木馬上線C2的IP地址為13.230.98.233。在木馬在上線前，會(huì)大量解析訪問正常站點(diǎn)，以此來躲避一些網(wǎng)絡(luò)防護(hù)監(jiān)控的監(jiān)測(cè)。

?

圖11. 木馬獲取剪切板內(nèi)容?

完成一階段木馬安裝后，攻擊者會(huì)手動(dòng)下發(fā)二階段木馬安裝包并手動(dòng)運(yùn)行安裝，實(shí)現(xiàn)對(duì)被攻擊設(shè)備的長(zhǎng)期控制。

發(fā)起電詐攻擊

在完成二階段遠(yuǎn)控的安裝后，攻擊者還會(huì)利用用戶不在電腦前的時(shí)機(jī)再次快速向用戶的好友傳播木馬，并嘗試發(fā)起電詐攻擊。

當(dāng)前，銀狐木馬會(huì)利用被害者電腦中的微信、釘釘群，發(fā)下圖中的釣魚文檔，誘導(dǎo)其他用戶支付寶掃碼。

?

圖12. 攻擊者通過電詐攻擊發(fā)送的釣魚文檔?

而其二維碼中對(duì)應(yīng)的內(nèi)容通常是一個(gè)釣魚網(wǎng)站，比如，對(duì)上圖中的二維碼進(jìn)行解碼，可以看到鏈接內(nèi)容如下圖：

?

圖13. 對(duì)釣魚文檔中的二維碼進(jìn)行解碼分析

此外，也有類似下面的釣魚鏈接。兩者的共同特點(diǎn)是利用支付寶的功能頁面跳轉(zhuǎn)，偽裝其釣魚鏈接，使用戶更難發(fā)現(xiàn)其釣魚攻擊，而且其最終釣魚落地頁面，也是被掛馬的正常網(wǎng)站。

?

圖14. 另一些二維碼中的掛馬站點(diǎn)連接

如果用戶掃描其釣魚二維碼，就會(huì)看到類似于如下頁面的釣魚網(wǎng)頁。攻擊者會(huì)在站點(diǎn)中進(jìn)一步騙取用戶的個(gè)人信息、銀行賬戶信息，最終誘導(dǎo)用戶實(shí)施轉(zhuǎn)賬支付，騙取用戶金融資產(chǎn)。

?

圖15. 最終呈現(xiàn)在用戶面前的釣魚頁面?

攔截防護(hù)

360安全大腦可攔截并查殺此類木馬，已安裝有360終端安全產(chǎn)品的用戶不必太過擔(dān)心。

?

圖16. 360安全大腦有效攔截上述分析的銀狐木馬

安全建議

l強(qiáng)化終端防護(hù)
在企業(yè)內(nèi)部設(shè)備中部署安全軟件，開啟實(shí)時(shí)監(jiān)控與自動(dòng)更新，若安全軟件異常退出，應(yīng)立即斷網(wǎng)查殺。

l嚴(yán)控文件風(fēng)險(xiǎn)
對(duì)不明壓縮包及可執(zhí)行文件，堅(jiān)持不解壓、不運(yùn)行、不輕信。有條件的情況下，應(yīng)將可疑文件上傳至可信的安全分析平臺(tái)進(jìn)行檢測(cè)和上報(bào)。

l警惕釣魚信息
收到含“財(cái)稅”“自查”甚至是此次傳播中出現(xiàn)的“防范木馬”等敏感關(guān)鍵詞的通知文件，務(wù)必通過官網(wǎng)、官方APP或電話等方式進(jìn)行二次核實(shí)，勿直接點(diǎn)擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應(yīng)從官網(wǎng)或企業(yè)內(nèi)部平臺(tái)獲取，并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后，要先經(jīng)安全軟件掃描。

l及時(shí)應(yīng)急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號(hào)異地登錄等風(fēng)險(xiǎn)征兆，應(yīng)盡快使用360等安全產(chǎn)品進(jìn)行全面掃描，必要時(shí)重裝系統(tǒng)。

l行業(yè)重點(diǎn)防護(hù)
如財(cái)稅或涉密等重點(diǎn)、敏感崗位，在業(yè)務(wù)高峰期執(zhí)行文件應(yīng)雙人復(fù)核，避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應(yīng)通過EDR、EPP等安全系統(tǒng)，對(duì)惡意軟件的運(yùn)行及通信進(jìn)行全方位告警和攔截。