银狐木马 1X

显示全部楼层 · 发表于 2024-8-23 20:30:38

00006666 发表于 2024-8-23 20:15
是不是opentip跑不出来要转人工，我看早上发的样本，现在也还没有拉黑

https://bbs.kafan.cn/thread-2 ...

卡巴上报比较麻烦，所以拉黑比较晚，我星期一再提交技术支持看看

显示全部楼层 · 发表于 2024-8-23 20:31:02

00006666 发表于 2024-8-23 20:16
你问一下其他人测试能跑出来行为的，是不是还有别的触发条件

我不清楚，这玩意运行就联网，然后创建一些文件，再然后自己就结束进程。

正在启动 setup6015.exe...
创建文件    C:\Users\001\AppData\Local\Microsoft\Windows\INetCache\IE\06ZI11NS\_stm[1].json
创建文件    C:\Users\001\AppData\Local\Microsoft\Windows\INetCache\IE\1ZOJ81HR\_stm[1].json
创建文件    C:\Users\001\AppData\Local\Microsoft\Windows\INetCache\IE\06ZI11NS\QH66WNS1.txt
已创建进程 C:\Windows\System32\WerFault.exe
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\1b7e432e-abe2-4748-b193-1ef37a438d44
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\f81ee824-5d17-4843-bdfd-5da018c12c54
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\3096af68-18a7-469c-8510-a506fb04f0d4
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\9bc8da88-9aeb-4b83-b39e-81005cb033c6
创建文件    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\6d3c71fd-1276-4f17-8cb4-8a0a5d0d54bd
创建文件    C:\ProgramData\Microsoft\Windows\WER\ReportQueue\a90168dd-69ce-4167-9140-2cc0da91721e
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4AFD.tmp
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4AFD.tmp.dmp
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4D50.tmp
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4D50.tmp.WERInternalMetadata.xml
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4E1C.tmp
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\WER4E1C.tmp.xml
创建文件    C:\ProgramData\Microsoft\Windows\WER\Temp\c1d4380f-4b39-435d-9371-deb9dbb2fcbb
创建文件夹 C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_setup6015.exe_2d95bf544fb9a86e62e2f59e1d82672774f7f0_afd40c3c_67b3f7a5-37d0-4a36-80a2-aa2f43cb76d2
   C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_setup6015.exe_2d95bf544fb9a86e62e2f59e1d82672774f7f0_afd40c3c_67b3f7a5-37d0-4a36-80a2-aa2f43cb76d2\1c710727-9a8a-4096-8c34-7ac6239474b9
\AppCrash_setup6015.exe_2d95bf544fb9a86e62e2f59e1d82672774f7f0_afd40c3c_67b3f7a5-37d0-4a36-80a2-aa2f43cb76d2\Report.wer
创建文件    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_setup6015.exe_2d95bf544fb9a86e62e2f59e1d82672774f7f0_afd40c3c_67b3f7a5-37d0-4a36-80a2-aa2f43cb76d2\aac5c1a9-690a-4103-b9b4-20d286fde357
已结束进程 C:\Windows\System32\WerFault.exe
已结束进程 D:\58c88a7d9a28bb1da8dcb3f0522f706a\58c88a7d9a28bb1da8dcb3f0522f706a\setup6015.exe

显示全部楼层 · 发表于 2024-8-23 20:32:42

kaba666 发表于 2024-8-23 20:31
我不清楚，这玩意运行就联网，然后创建一些文件，再然后自己就结束进程。

这个系列的银狐会注入别的进程，注入成功了，自己也会退出，你看看explorer有没有外联

显示全部楼层 · 发表于 2024-8-23 20:40:40

00006666 发表于 2024-8-23 20:32
这个系列的银狐会注入别的进程，注入成功了，自己也会退出，你看看explorer有没有外联

没有啊

显示全部楼层 · 发表于 2024-8-23 20:56:33

kaba666 发表于 2024-8-23 20:40
没有啊

这我就不知道了，银狐一直都是有的环境跑的起来，有的环境跑不起来，说不定是有可能有云控的成分在影响

显示全部楼层 · 发表于 2024-8-23 20:56:40

00006666 发表于 2024-8-23 20:15
是不是opentip跑不出来要转人工，我看早上发的样本，现在也还没有拉黑

https://bbs.kafan.cn/thread-2 ...

早上发的样本我下午4点打包邮箱上报了，会不会拉黑随缘，毕竟昨天我上报的样本中有两个银狐被判定为白文件

显示全部楼层 · 发表于 2024-8-23 20:58:30

1073328164 发表于 2024-8-23 20:56
早上发的样本我下午4点打包邮箱上报了，会不会拉黑随缘，毕竟昨天我上报的样本中有两个银狐被判定为白文 ...

那两个啊，我重新上报一下

显示全部楼层 · 发表于 2024-8-23 21:00:26

dght432 发表于 2024-8-23 20:30
卡巴上报比较麻烦，所以拉黑比较晚，我星期一再提交技术支持看看

卡巴上报其实反应不算慢，但是现在的银狐越来越难搞，昨天上报的样本中就有鉴定为clean的，今天截至4点前的miss样本我都打包发给卡巴了，昨天鉴定为白文件的我也又发了一次，看看周一的结果了

显示全部楼层 · 发表于 2024-8-23 21:04:29

1073328164 发表于 2024-8-23 21:00
卡巴上报其实反应不算慢，但是现在的银狐越来越难搞，昨天上报的样本中就有鉴定为clean的，今天截至4点前 ...

主要这玩意会用一些手段反行为分析沙箱，有各种环境检查，母体本身是个木马下载器，下载后续载荷才能有行为

显示全部楼层 · 发表于 2024-8-23 21:05:14

1073328164 发表于 2024-8-23 21:00
卡巴上报其实反应不算慢，但是现在的银狐越来越难搞，昨天上报的样本中就有鉴定为clean的，今天截至4点前 ...

你就把其他杀毒软件的查杀结果发给他们看看嘛，或者vt什么的

[病毒样本] 银狐木马 1X