銀狐木馬又得“新寵”，印度知名遠(yuǎn)控軟件成傀儡

2025-11-12 09:52:07
我要分享


微信掃碼分享

銀狐木馬再更新

近期，銀狐木馬又雙叒叕更新了……本次強(qiáng)勢(shì)回歸的銀狐木馬又發(fā)現(xiàn)了一個(gè)新寵——一款由印度Zoho集團(tuán)開發(fā)的企業(yè)級(jí)“桌面與終端統(tǒng)一管理系統(tǒng)”（遠(yuǎn)程管理類軟件）。

銀狐木馬家族利用此類合法的IT管理和控制軟件發(fā)起攻擊是慣用手法。而本次被利用的“Zoho桌面與終端統(tǒng)一管理系統(tǒng)”，能夠通過對(duì)企業(yè)網(wǎng)絡(luò)中受控的計(jì)算機(jī)實(shí)時(shí)下發(fā)指令，對(duì)各個(gè)終端實(shí)施具體操作。木馬作者利用這一特性，竊取受控終端用戶設(shè)備中的信息和資料，并可能進(jìn)一步發(fā)起下階段的其他攻擊。

以“稅”為名

新版銀狐木馬在投遞階段，通常精心構(gòu)造虛假的釣魚頁面，利用財(cái)稅名義發(fā)起釣魚攻擊。

根據(jù)我們的排查，典型的釣魚頁面如下所示：

圖1. 典型釣魚頁面

木馬解析

潛入系統(tǒng)

一旦有用戶訪問釣魚網(wǎng)站后不慎上當(dāng)，點(diǎn)擊釣魚鏈接后，便會(huì)下載木馬文件包。攻擊者使用了加密壓縮包，此類壓縮包通常會(huì)將文件名命名成諸如“sw碼12366】.rar”的形式。將壓縮包解壓后釋放類似下圖這樣的文件：

圖2. 加密壓縮包中的文件列表

而在名為“安裝須知.txt”的文本文檔中，攻擊者會(huì)進(jìn)一步誘導(dǎo)用戶退出以360為代表的安全軟件。

圖3. “安裝須知.txt”的文本內(nèi)容

木馬部署

樣本被執(zhí)行后，首先會(huì)嘗試獲取管理員權(quán)限，成功后利用系統(tǒng)集成的curl、bitsadmin或certutil等下載工具，進(jìn)行下一階段載荷的下載操作。

圖4. 腳本利用系統(tǒng)工具進(jìn)行載荷下載

具體下載列表如下：

圖5. 載荷下載列表

在下載完成后，腳本會(huì)繼續(xù)對(duì)這款名為UEMSAgent的遠(yuǎn)控軟件進(jìn)行靜默安裝，并修改其配置文件內(nèi)容。下面是被修改后的配置文件DCAgentServerInfo.json，配置中內(nèi)置了歸屬地為中國(guó)香港的攻擊者控制服務(wù)器103.115.56.103:8383。

圖6. 被修改后的配置文件

據(jù)該公司官網(wǎng)介紹，該軟件有遠(yuǎn)控軟件常用的功能，例如，遠(yuǎn)端檔案?jìng)鬏?、多監(jiān)視器支持、錄制遠(yuǎn)端會(huì)話等，除此之外還有下圖中的大量功能：

圖7. 被銀狐木馬利用的遠(yuǎn)控軟件主要功能列表

可以看出，本次銀狐木馬的攻擊中，并沒有使用先進(jìn)的技術(shù)手段，甚至都沒有使用專門編寫的木馬實(shí)施遠(yuǎn)程控制，而是利用現(xiàn)成的合法管理軟件，對(duì)受害用戶機(jī)器進(jìn)行非法控制。這已經(jīng)成為銀狐木馬最常見的攻擊手法，有時(shí)甚至?xí)瑫r(shí)部署多款軟件實(shí)施控制。近兩年，360安全大腦發(fā)現(xiàn)的被利用進(jìn)行攻擊的合法軟件就多達(dá)數(shù)十款，其中最常見的包括IPGUARD、陽途、固信、安在等，360對(duì)此類合法軟件均支持一鍵檢查和清理。

處置方案

中招的用戶可使用360安全終端產(chǎn)品查殺木馬并直接卸載被利用的控制軟件。而對(duì)于沒有安裝360的用戶，也可嘗試通過系統(tǒng)的控制面板，對(duì)這些軟件進(jìn)行手動(dòng)卸載，完成初步的緊急處置。

圖8. 安裝到系統(tǒng)中的被利用的合法控制軟件

攔截防護(hù)

360安全大腦可攔截并查殺此類木馬，已安裝有360終端安全產(chǎn)品的用戶不必太過擔(dān)心。

圖9. 360安全大腦攔截木馬腳本運(yùn)行

安全建議

l強(qiáng)化終端防護(hù)
在企業(yè)內(nèi)部設(shè)備中部署安全軟件，開啟實(shí)時(shí)監(jiān)控與自動(dòng)更新，若安全軟件異常退出，應(yīng)立即斷網(wǎng)查殺。

l嚴(yán)控文件風(fēng)險(xiǎn)
對(duì)不明壓縮包及可執(zhí)行文件，堅(jiān)持不解壓、不運(yùn)行、不輕信。有條件的情況下，應(yīng)將可疑文件上傳至可信的安全分析平臺(tái)進(jìn)行檢測(cè)和上報(bào)。

l警惕釣魚信息
收到含“財(cái)稅”“自查”甚至是此次傳播中出現(xiàn)的“防范木馬”等敏感關(guān)鍵詞的通知文件，務(wù)必通過官網(wǎng)、官方APP或電話等方式進(jìn)行二次核實(shí)，勿直接點(diǎn)擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應(yīng)從官網(wǎng)或企業(yè)內(nèi)部平臺(tái)獲取，并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后，要先經(jīng)安全軟件掃描。

l及時(shí)應(yīng)急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號(hào)異地登錄等風(fēng)險(xiǎn)征兆，應(yīng)盡快使用360等安全產(chǎn)品進(jìn)行全面掃描，必要時(shí)重裝系統(tǒng)。

l行業(yè)重點(diǎn)防護(hù)
針對(duì)財(cái)稅或涉密等重點(diǎn)、敏感崗位，在業(yè)務(wù)高峰期執(zhí)行文件應(yīng)雙人復(fù)核，避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應(yīng)通過EDR、EPP等安全系統(tǒng)，對(duì)惡意軟件的運(yùn)行及通信進(jìn)行全方位告警和攔截。

熱點(diǎn)排行

銀狐木馬又得“新寵”，印度知名遠(yuǎn)控軟件成傀儡

熱點(diǎn)排行

關(guān)注我們