亚信安全捕获银狐木马控制端样本,揭晓最新发现

这篇具有很好参考价值的文章主要介绍了亚信安全捕获银狐木马控制端样本,揭晓最新发现。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

近日,亚信安全威胁情报中心获取到银狐远控样本,通过远控端生成一个Payload并对Payload进行分析,还原了银狐组织攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

银狐木马简介

攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。现该组织直接将钓鱼HTML页面存放在云存储桶中。

投递方式邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、压缩软件、PPT、美图和向日葵软件等。初始载荷:exe、chm、msi。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图1.1 银狐流程图

远控端分析

银狐拥有tcp和udp协议主机上线方式,并集成了键盘记录、视频查看、文件管理、系统管理、语音监听、文件操作、命令执行、反虚拟机和提权等功能,默认端口为6000。

远控端可以选择是否给样本进行upx加壳处理,在以往对银狐样本进行分析过程中发现该组织会使用upx加壳,手法具有一致性。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.1 远控端截图

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.2 木马生成示例

会自动生成x86和x64两种架构的样本如图2.3所示:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.3 生成木马

远控端导入的功能模块(x86与x64相同)

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.4远控端功能部分

使用开源的dll2shellcode在内存加载前解密密码:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.5 加解密算法

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图2.6 远控交流示例

受控端-木马分析过程

流程分析:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.1 主函数部分

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.2 样本初始化

该样本通过检测磁盘是否存在文件夹“C:\\Program Files\\VMware\\VMware Tools\\”以及进程“VMwareService.exe、VMwareTray.exe、VMwareUser.exe”,如果存在则将进入while死循环,达到反虚拟机的目的

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.3反虚拟机

如果获取到指定路径则通过创建GFIRestart32.exe实现开机自启动,否则写入"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"注册表项实现开机自启动。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.4 开机自启

会针对一些终端安全软件进行检测,达到规避杀软的目的:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.5 进程检测列表

数据传输使用CClientSocket类,实现样本通信:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.6 样本通信

收集的主机信息主要有:主机名、本机地址信息、系统版本信息、操作系统版本信息、cpu型号、系统架构、驱动信息、目录和盘号的属性,后期会将这些信息加密后作为上线地址发送给远控端。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.7 信息收集

创建互斥体以防范多开现象,具体步骤为路径拼接并创建名为“C:\ProgramData\sys.key”的互斥体:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.8 互斥体

上传与下载文件部分:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图3.9 指令部分

该远控木马的远控功能,如:文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为,可以通过上述分析从远控端及被控端展现出来。

通讯协议分析

通过对比gh0st 3.6版本的源码,我们注意到该样本采用了相同的操作流程,因此可以推断这是gh0st的改版版本。

该样本利用开源的压缩库zlib-1.2.11来传输数据。这一方法的优势在于其传输速度快、稳定,并且能够支持无限数量的上线主机。同时,该样本具备同时控制上万台主机的能力。

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图4.1 zlib源码比对

字符串中出现了zlib的版权及版本信息:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图4.2 zlib字符串

通常这类远程控制工具典型的数据结构包括一段特定的标识码,随后是经过Zlib压缩的数据。要确定是否采用了Zlib压缩,我们可以通过观察数据流中的压缩头部标识来进行判定,一般而言,Zlib的头部标识为\x78\x9c。对样本进行抓包,可以看到拼接主机信息后的结构大致如下:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

图4.3 上线包

样本归因

根据远控端pdb路径关联到的样本hash如表4.1所示:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

表4.1 远控端 ioc

根据pdb路径关联到的payload如表4.2所示:

亚信安全捕获银狐木马控制端样本,揭晓最新发现,安全,apache,struts,java,web安全,gitlab

表4.2 payload ioc

综上,结合样本同源性的特征判断该样本属于银狐木马。

总结及处置建议

银狐作为恶意远控工具,通常将payload隐藏在各类常用软件的导入文件中,挂载到仿冒网站上,利用白加黑的方式进行加载,等待用户下载。

  • 建议全面部署亚信安全防病毒产品,并及时更新组件;

  • 由于银狐木马多采用内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关进程;

  • 银狐木马的攻击者可能会利用木马安装其他持久化组件,如xx终端安全管理系统,或其他远程软件;如确认非用户安装,请及时卸载和清理。

关于亚信安全威胁情报中心

亚信安全威胁情报中心:聚焦威胁情报研究,建立威胁情报运营能力,为产品提供联防联控和主动防御能力,提高安全威胁检测与响应能力。文章来源地址https://www.toymoban.com/news/detail-779866.html

到了这里,关于亚信安全捕获银狐木马控制端样本,揭晓最新发现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • AI原生安全 亚信安全首个“人工智能安全实用手册”开放阅览

    **我们更应关心AI安全原生。**实施人工智能是一项复杂又长远的任务,任何希望利用大模型的组织在设计之初,都必须将安全打入地基,安全一定是AI技术发展的核心要素。 针对人工智能和大模型面临的威胁与攻击模式,亚信安全基于全球首个人工智能对抗性威胁矩阵,即

    2024年04月14日
    浏览(64)
  • 【黑客渗透】-- 远程木马控制

    目录 系列文章目录 文章目录 网络搭建系列:网络攻击 Windows服务器搭建系列:Windwos服务器搭建  渗透系列:  前言 一、什么是木马远程控制? 二、正文 1)实验目的 2)实验背景 3)实验设备 4)实验配置 1.实验设备均在VMnet 2中  2.实验设备IP 3.实验软件 4.测试连通性 5.打开软件 6.利用

    2024年02月19日
    浏览(39)
  • 手机木马远程控制复现

    目录 前言 系列文章列表 渗透测试基础之永恒之蓝漏洞复现http://t.csdn.cn/EsMu2 思维导图 1,实验涉及复现环境    2,Android模拟器环境配置 2.1,首先从官网上下载雷电模拟器 2.2,安装雷电模拟器  2.3, 对模拟器网络进行配置 2.3.1,为什么要进行配置 2.3.2,进行配置  2.3.3,安装成功后

    2024年02月09日
    浏览(47)
  • 潜伏三年,核弹级危机一触即发,亚信安全深度分析XZ Utils后门事件

    2024年3月29日星期五上午8点,有研究人员称xz/liblzma中的后门导致SSH服务器内存泄露,使得SSH服务异常(https://www.openwall.com/lists/oss-security/2024/03/29/4)。github中“xz”压缩工具主要由Larhzu和Jia Tan共同负责维护,他们已经合作发布了多个版本。然而,研究人员发现Jia Tan发布的5.6

    2024年04月27日
    浏览(37)
  • msf使用木马控制android手机

    msf使用木马控制android手机 kali、手机模拟器(或不用的手机)。 手机模拟器(或者手机)与电脑可以互相连通吗,即手机可以直接访问到kali。 命令:msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.32.135 lport=4444 android_shell.apk ; 2、手机安装木马。 想办法把木马放到手机模拟器(

    2024年02月10日
    浏览(42)
  • msf渗透练习-生成木马控制window系统

    说明: 本章内容,仅供学习,不要用于非法用途(做个好白帽) (一)生成木马 命令: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.23.46 LPORT=4444 -e x86/shikata_ga_nai -f exe -o shell.exe -i 5 -p:设置payload,也就是要生成的可执行文件的类型和功能,这里选择的是Windows Meterpreter反向

    2024年02月08日
    浏览(40)
  • 网络安全-一句话木马

    遵纪守法 请严格遵守网络安全法相关条例! 此分享主要用于交流学习,请勿用于非法用途,一切后果自付。 一切未经授权的网络攻击均为违法行为,互联网非法外之地。 大家在知道了常规一句话的木马之后,就可以通过或者更高级的方式来查看服务器是否存在木马。

    2024年02月20日
    浏览(48)
  • 集成电路安全(二):硬件木马检测

    之前在一篇文章《硬件安全一点点概要》简单介绍了一下硬件的安全机制,这里通过一些论文和书籍资料,对这个部分进行进一步的展开讲解。 随着信息技术的出现,网络已经深入到人们的日常生活并发挥着越来越重要的作用。在这种形势下,网络攻击风险也与日俱增。自

    2024年02月10日
    浏览(55)
  • 网络安全之认识挖矿木马

    比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后,会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价,比特币的获得需要高

    2024年01月24日
    浏览(52)
  • java安全——jsp一句话木马

    提示:以下是本篇文章正文内容,下面案例可供参考 http://localhost:8003/index.jsp?cmd=whoami 不会回显执行的结果只能在后台打印一个地址,常用来反弹shell 代码如下(示例):

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包