400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

请注意,微信群聊再现“银狐”病毒新变种

  • 作者:火绒安全

  • 发布时间:2023-12-15

  • 阅读量:2555

最近,火绒威胁情报系统监测到,又有后门病毒伪装成“企业补贴政策名单.msi”“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。用户下载运行该文件后,病毒会被激活并释放多个恶意文件,添加计划任务,远程控制受害者的终端等,对用户构成较大的安全威胁。

Image-0.png

 

Image-1.png

用户反馈情况

 

经过火绒安全工程师确认,该后门病毒为“银狐”木马的新变种,具有更强的对抗性和隐蔽性。溯源排查发现,该类病毒近期伪装的相关文件名如下:

Image-2.png

伪装文件名

此前,火绒已披露“银狐”木马呈现变种增多趋势,且采取更多方式对抗安全软件的查杀。火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件(后缀.msi/.rar/.exe/.chm/.bat/.vbs),如有必要先使用安全软件扫描后再使用。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

Image-3.png

查杀图

 

一、样本分析

第一阶段:

以 "企业补贴政策名单.msi" 为例,用户双击该 msi 文件进行安装后其会执行一系列相关进程,其中以 "CNM.exe" 和 "erp.exe" 为执行主体:

Image-4.png

进程执行图

 

病毒样本会释放多个文件在 "C:\Windows\HAHA" 目录下,其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身,是一个文件头和主体分离的 16 进制文本(分离用于免杀操作)。样本会通过 bat 文件进行拼接,并继续执行拼接后的 "exe" 文件。

Image-5.png

目录相关文件

 

"CNM.exe" 内部执行过程中会加载同目录下 "opl.txt",后者是一个加密过的用于计划任务的相关代码文件,解密算法如下所示:

Image-6.png

opl.txt 相关

 

写入的计划任务用户启动下一阶段的主体文件 "erp.exe",这是一个用于与 C2 进行通信的关键文件:

Image-7.png

写入的计划任务

 

随后样本连接托管的服务器,下载下一阶段需要使用的 "libcurl.dll",这是一个 "shellcode" 相关的加载器:

Image-8.png

火绒剑执行图

 

 

第二阶段:

erp.exe 是一个白文件,样本使用白加黑的方式规避杀软查杀。其会加载同目录下 "libcurl.dll",后者会加载同目录下 "xo.had" 进行解密并作为回调函数加载执行:

Image-9.png

libcurl.dll 加载图

 

解出来的代码使用了包括代码动态生成及多层混淆等手段用于躲避查杀:

Image-10.png

代码缩略图

 

在分析的过程中发现其在 "Services" 服务项中注册了 "Rslmxp nnjkwaum" 目录,并设立 "ConnentGroup" 键,该健是用于统筹连接用的 C2 IP 及标识相关进程使用的。

Image-11.png

注册表设立

 

要连接的 "C2 IP" 是以硬编码的方式存在于样本中的,"IP" 和前面设立注册表项会拼接在一起,创建一个标识特定连接 IP 的互斥体:

Image-12.png

互斥体创建

 

最后样本会单独开启线程进行通信相关操作,连接建立后会在循环中监听信息,后续操作均可以插件的形式下发,以此进行远控和保持配置更新:

Image-13.png

 

Image-14.png

通信相关操作

 

溯源分析:

值得注意的是,以 erp.exe 部分为主体的进行区分,该类样本早在 3 月份就被相关技术论坛发现及上传,后续发现的相关样本都是其免杀对抗的升级版本:

Image-15.png

VT 检测图

 

主体文件中 "erp.exe" 所使用的伪造的数字签名和文件信息也在相关“银狐”分析报告中被提及,回顾整个攻击的 "TTP" 和针对的人群(财务类人员),种种证据表明这又是一起“银狐”代表的攻击事件:

Image-16.png

相关伪造证书

 

二、附录

C&C:

Image-17.png

 

HASH:

Image-18.png

安全无忧,一键开启

全面提升您的系统防护