香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global

銀狐團(tuán)伙再出新招,利用.NET特性隱蔽攻擊

  • 2025-03-12 18:37:25

關(guān)于銀狐

銀狐木馬是近年來(lái)國(guó)內(nèi)最為活躍的遠(yuǎn)控釣魚(yú)類(lèi)木馬,該木馬與電詐活動(dòng)緊密相關(guān),是一類(lèi)危害較高的木馬家族。通常而言,銀狐木馬主要是針對(duì)企事業(yè)單位管理、財(cái)務(wù)、銷(xiāo)售相關(guān)崗位人員或電商賣(mài)家進(jìn)行釣魚(yú)攻擊。該家族木馬主要通過(guò)偽裝成與工作相關(guān)的文件(如發(fā)票或財(cái)稅文件等)誘騙用戶點(diǎn)擊下載和執(zhí)行,從而實(shí)現(xiàn)對(duì)目標(biāo)用戶計(jì)算機(jī)的遠(yuǎn)程控制。

近期,該木馬團(tuán)伙依然活躍,而與以往不同的則是該團(tuán)伙出現(xiàn)了一類(lèi)使用.NET特性發(fā)起攻擊的案例。下文中我們將對(duì)此類(lèi)案例進(jìn)行分析介紹。

攻擊分析

在此類(lèi)攻擊事件中,攻擊者首先會(huì)發(fā)送帶有釣魚(yú)鏈接的PDF文件。

圖1. 釣魚(yú)PDF文件內(nèi)容

攻擊者之所以選擇通過(guò)PDF文件攜帶釣魚(yú)鏈接而非直接發(fā)送釣魚(yú)鏈接,與360安全終端產(chǎn)品與通訊軟件的攔截不無(wú)關(guān)系。通過(guò)各種途徑直接傳遞釣魚(yú)鏈接,極易被安全產(chǎn)品事先防御攔截,所以攻擊者才會(huì)選擇通過(guò)PDF、Excel等文件中的圖片、文字來(lái)包藏釣魚(yú)鏈接,以此試圖蒙混過(guò)關(guān)。因此,用戶如果見(jiàn)到通過(guò)PDF等文檔直接內(nèi)嵌鏈接的情況要格外謹(jǐn)慎,以防是釣魚(yú)或其他類(lèi)型惡意鏈接。

而用戶一旦被誤導(dǎo)后點(diǎn)擊鏈接,就會(huì)直接調(diào)用瀏覽器觸發(fā)下載行為。常見(jiàn)的攻擊案例中,下載到的文件往往是一個(gè)經(jīng)過(guò)偽裝的壓縮包,并且通常會(huì)使“解壓文件后閱覽.zip”、“查詢明細(xì).zip”等一類(lèi)具有迷惑性的名稱。

圖2. 用戶被誤導(dǎo)后下載的釣魚(yú)文件?

對(duì)樣本進(jìn)行解壓后,可以看到下面一個(gè)不尋常的組合(除exe文件外,其它文件一般都會(huì)被設(shè)置為隱藏屬性)。

圖3. 解壓后的釣魚(yú)文件

可以看到,文件中還包括一個(gè)與exe主程序同名的config文件。而打開(kāi)這個(gè)config文件可以看到其內(nèi)容如下:

圖4. 配置文件內(nèi)容?

而對(duì)于這個(gè)配置文件的加載,便是我們本次要重點(diǎn)介紹的銀狐木馬所利用了.NET程序的一個(gè)特性。

在.NET應(yīng)用程序的默認(rèn)運(yùn)行狀況下,會(huì)自動(dòng)讀取這個(gè)與應(yīng)用程序可執(zhí)行文件(.exe)同名且?guī)в?config擴(kuò)展名的配置文件。而該配置文件采用XML格式,用于存儲(chǔ)應(yīng)用程序的運(yùn)行參數(shù)以便在不修改代碼的情況下調(diào)整應(yīng)用程序的行為。而當(dāng)前攻擊案例中的銀狐木馬正是利用了這一特性,添加了一條MyAppDomainManager(使用自定義 AppDomain 管理器)的記錄來(lái)指向ipc.dll這個(gè)動(dòng)態(tài)鏈接庫(kù)文件。

以下則是常見(jiàn)用戶劫持的DLL文件代碼結(jié)構(gòu):

圖5. 常見(jiàn)用于劫持的DLL文件代碼結(jié)構(gòu)

在進(jìn)行了這種配置后,主程序便會(huì)在初始化時(shí)自動(dòng)加載文件中指定的ipc.dll文件,并執(zhí)行其InitializeNewDomain(AppDomainSetup)完成初始化。

下面是兩個(gè)劫持DLL的代碼對(duì)比,可以看到其劫持的結(jié)構(gòu)均相同。如果發(fā)現(xiàn)當(dāng)前程序并非以管理員權(quán)限執(zhí)行,便會(huì)嘗試提升至管理員權(quán)限再次啟動(dòng),成功后再執(zhí)行后續(xù)的惡意代碼。

圖6. 初始化函數(shù)代碼對(duì)比?

完成上述初始化操作后,便進(jìn)入了核心的病毒執(zhí)行代碼。解密病毒主體部分size.pe并執(zhí)行病毒主體功能。

圖7. 進(jìn)入病毒主體功能的代碼?

當(dāng)前分析的案例樣本會(huì)利用注冊(cè)表中的“UserInitMprLogonScript”實(shí)現(xiàn)長(zhǎng)期駐留,該注冊(cè)表位置會(huì)在用戶成功登錄系統(tǒng)時(shí)自動(dòng)運(yùn)行木馬主程序。

圖8. 木馬通過(guò)修改注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)及長(zhǎng)期駐留?

病毒完成引導(dǎo)后,會(huì)啟動(dòng)perfmon.exe進(jìn)程,然后注入到perfmon.exe進(jìn)程里。

圖9. 啟動(dòng)并注入perfmon.exe進(jìn)程

最終的惡意載荷是一款功能強(qiáng)大的遠(yuǎn)控木馬。其具備記錄鍵盤(pán)輸入、打開(kāi)/關(guān)閉屏幕、在瀏覽器中搜索和刪除用戶數(shù)據(jù)、執(zhí)行文件操作等常規(guī)木馬所具有的功能。

圖10. 遠(yuǎn)控木馬功能代碼?

不僅如此,當(dāng)前的銀狐木馬還會(huì)在受害者的電腦中下載IP-guard等其他工具來(lái)保護(hù)其木馬主體不被查殺。

圖11. 木馬通過(guò)其他工具來(lái)保護(hù)木馬主體?

實(shí)現(xiàn)長(zhǎng)期駐留后,攻擊者將監(jiān)控用戶的一舉一動(dòng),竊取用戶的微信密鑰與聊天記錄文件來(lái)獲取用戶全部的聊天記錄。此外,木馬還會(huì)搜索并竊取設(shè)備中疑似是企業(yè)財(cái)稅文件、企業(yè)工資單等企業(yè)財(cái)務(wù)相關(guān)數(shù)據(jù),最終將這些信息售賣(mài)給詐騙團(tuán)伙。

利用這一機(jī)制,木馬作者可以使用任意.NET程序做為木馬的“主程序”,加載其病毒代碼執(zhí)行,以此實(shí)現(xiàn)與免殺相同的效果。不過(guò)360安全終端產(chǎn)品已對(duì)此類(lèi)問(wèn)題進(jìn)行處理,使用360終端安全產(chǎn)品的用戶無(wú)需過(guò)分擔(dān)心,360終端安全產(chǎn)品可以正常防御該病毒木馬的攻擊。懷疑中招的電腦,也可以使用360終端安全產(chǎn)品進(jìn)行查殺。

圖12. 360客戶端攔截銀狐木馬

360安全衛(wèi)士

熱點(diǎn)排行

用戶
反饋 返回
頂部