极强不断网注入银狐 1X

jxfaiu

xjwtzq 发表于 2026-4-13 22:11
奇安信拦截

双击

huanmuxue

省流：注入写的挺粗糙的，骗骗常规杀软得了
技术省流：
1. 内存注入与隐蔽执行 (Memory & Evasion)
该程序主要采用无文件（Fileless）/内存驻留技术，并且没有做足够深度的规避（例如未伪造调用栈或使用反射型加载未签名模块）。
Malicious Behavior Detection Alert: Unbacked Shellcode from Unsigned Module (16次) - 未签名模块执行无后备（Unbacked）内存的 Shellcode，典型的 C2 Beacon 行为。
Memory Threat Detection Alert: Shellcode Injection (8次) - 直接命中了 Shellcode 注入的特征。
Malicious Behavior Detection Alert: Native API Call from Unsigned Module (4次) - 未签名的模块调用了 Native API（例如 NtAllocateVirtualMemory 等），EDR 对底层调用的监控。
Malicious Behavior Detection Alert: Suspicious Memory Protection Change via VirtualProtect (4次) - 使用 VirtualProtect 更改内存属性（通常是为了将 RW 内存修改为 RX 以便执行）。
Malicious Behavior Detection Alert: Suspicious Thread Context Manipulation (3次) & Thread Suspension from Unbacked Memory (2次) - 线程挂起与上下文修改，这是典型的进程注入手法（如 APC 注入、线程劫持等）。
Memory Threat Detection Alert: Multi.Generic.Threat (4次) - 内存扫描命中了通用的恶意特征。
2. 信息窃取 (Credential / Keylogging)
程序具备窃取用户输入的按键记录功能。
Endpoint API event - SetWindowsHookEx (4次) - 调用了设置 Windows 钩子的 API。
Malicious Behavior Detection Alert: Keystroke Capture by Unsigned Process (2次) - 明确被判定为无签名进程正在进行键盘记录（通常和上述 SetWindowsHookEx 配合使用）。
3. 权限维持 / 持久化 (Persistence)
程序试图在目标系统上建立长期控制。
Malicious Behavior Detection Alert: Scheduled Task Creation by an Unusual Process (2次) - 通过不寻常的进程创建了计划任务（通常是通过 COM 接口或直接调用 schtasks.exe）。
Malicious Behavior Detection Alert: Suspicious Windows Schedule Child Process (2次) - 计划任务的子进程行为可疑。
4. 网络通信与 C2 连接 (Command & Control)
程序触发了多次外连和 DNS 解析操作。
Malicious Behavior Detection Alert: Network Connect API from Unbacked Memory (1次) - 非常典型的内存马/Beacon特征，从没有对应磁盘文件的内存区域发起网络连接 API 调用。
DNS 查询记录：
becck.com (共计22次)：解析了 A 记录（IPv4）和 AAAA 记录（IPv6，结果为 ::ffff:198.18.0.211）。这很可能是真实的 C2 服务器域名。
api.bilibili.com (共计6次)：这可能是该恶意程序使用的前置/诱饵域名（Domain Fronting / Decoy），或者是用来测试网络连通性。
Endpoint network event (7次) - 常规的网络连接行为。
5. 常规端点行为 (General Endpoint Events)
Endpoint DLL load event (16次)
Endpoint process event (3次)
Endpoint registry event / file event (各1次)

fdsax

bd atc多杀几遍就老实了 不用重启

小猛蚁

nulluser1234 发表于 2026-4-13 23:36
golang写的注入后门，会先连接b站检测有没有网络再执行，针对telegram有丰富的功能，记得有一篇报告写过这 ...

好高端的手法

小猛蚁

asdfnbbj 发表于 2026-4-14 00:27
360开启远控.勒索急救功能下运行会拦截，不知道成功拦截了没有

没删衍生物啊，那要杀持久化有点难吧，除非一开始就阻止持久化

小猛蚁

jxfaiu 发表于 2026-4-14 06:26
双击

卡巴拉黑速度快起来了，但是我电脑昨天和前天测试过只触发PDM，是不是发在卡饭了立即入库

小猛蚁

huanmuxue 发表于 2026-4-14 06:27
省流：注入写的挺粗糙的，骗骗常规杀软得了
技术省流：
1. 内存注入与隐蔽执行 (Memory & Evasion)

大佬啊不过对于很多银狐来说，能让一些主流杀软不报毒已经够了吧

小猛蚁

fdsax 发表于 2026-4-14 08:31
bd atc多杀几遍就老实了 不用重启

我前天测试的时候bd还被退出了，奇怪了，当时衍生物已经杀了不过重启后好了