最近,火绒威胁情报系统监测到,又有后门病毒伪装成“企业补贴政策名单.msi”“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。用户下载运行该文件后,病毒会被激活并释放多个恶意文件,添加计划任务,远程控制受害者的终端等,对用户构成较大的安全威胁。
用户反馈情况
经过火绒安全工程师确认,该后门病毒为“银狐”木马的新变种,具有更强的对抗性和隐蔽性。溯源排查发现,该类病毒近期伪装的相关文件名如下:
伪装文件名
此前,火绒已披露“银狐”木马呈现变种增多趋势,且采取更多方式对抗安全软件的查杀。火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件(后缀.msi/.rar/.exe/.chm/.bat/.vbs),如有必要先使用安全软件扫描后再使用。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
查杀图
一、样本分析第一阶段:以 "企业补贴政策名单.msi" 为例,用户双击该 msi 文件进行安装后其会执行一系列相关进程,其中以 "CNM.exe" 和 "erp.exe" 为执行主体: 进程执行图
病毒样本会释放多个文件在 "C:\Windows\HAHA" 目录下,其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身,是一个文件头和主体分离的 16 进制文本(分离用于免杀操作)。样本会通过 bat 文件进行拼接,并继续执行拼接后的 "exe" 文件。 目录相关文件
"CNM.exe" 内部执行过程中会加载同目录下 "opl.txt",后者是一个加密过的用于计划任务的相关代码文件,解密算法如下所示: opl.txt 相关
写入的计划任务用户启动下一阶段的主体文件 "erp.exe",这是一个用于与 C2 进行通信的关键文件: 写入的计划任务 随后样本连接托管的服务器,下载下一阶段需要使用的 "libcurl.dll",这是一个 "shellcode" 相关的加载器: 火绒剑执行图
第二阶段:erp.exe 是一个白文件,样本使用白加黑的方式规避杀软查杀。其会加载同目录下 "libcurl.dll",后者会加载同目录下 "xo.had" 进行解密并作为回调函数加载执行: libcurl.dll 加载图 解出来的代码使用了包括代码动态生成及多层混淆等手段用于躲避查杀: 代码缩略图 在分析的过程中发现其在 "Services" 服务项中注册了 "Rslmxp nnjkwaum" 目录,并设立 "ConnentGroup" 键,该健是用于统筹连接用的 C2 IP 及标识相关进程使用的。 注册表设立 要连接的 "C2 IP" 是以硬编码的方式存在于样本中的,"IP" 和前面设立注册表项会拼接在一起,创建一个标识特定连接 IP 的互斥体: 互斥体创建 最后样本会单独开启线程进行通信相关操作,连接建立后会在循环中监听信息,后续操作均可以插件的形式下发,以此进行远控和保持配置更新: 通信相关操作 溯源分析:值得注意的是,以 erp.exe 部分为主体的进行区分,该类样本早在 3 月份就被相关技术论坛发现及上传,后续发现的相关样本都是其免杀对抗的升级版本: VT 检测图 主体文件中 "erp.exe" 所使用的伪造的数字签名和文件信息也在相关“银狐”分析报告中被提及,回顾整个攻击的 "TTP" 和针对的人群(财务类人员),种种证据表明这又是一起“银狐”代表的攻击事件: 相关伪造证书 二、附录C&C: HASH:
| 
发表于 2023-12-15 17:48:18
