銀狐木馬又雙叒叕“進化” ，遠控、勒索“混合雙打”發(fā)動攻擊

2025-12-11 19:46:34
我要分享


微信掃碼分享

近期，我們在處置用戶求助過程中，發(fā)現(xiàn)了一類新的銀狐木馬攻擊方式。這個銀狐木馬的變種不僅能夠遠程控制受害者的電腦，還會進一步投放 LockBit 5.0 勒索軟件，對電腦中的文件進行加密，給受害者造成雙重打擊。

攻擊劇本

圖1. 混合攻擊入侵劇本

此次攻擊以一種常見的電詐式社工手法開局。受害者首先接到一個自稱“工商局”的電話，聲稱有人舉報其公司網(wǎng)站存在不當(dāng)內(nèi)容，并要求受害者主動聯(lián)系“投訴人”協(xié)商，否則將面臨處罰。在對方的誘導(dǎo)下，受害者添加了所謂“投訴人”的聯(lián)系方式。

隨后，攻擊者以“投訴人”的身份向受害者發(fā)送一封“撤銷舉報”的郵件。郵件內(nèi)容經(jīng)過精心偽裝，誘導(dǎo)受害者點擊鏈接或下載附件。最終受害者按照要求打開郵件中的惡意文件，銀狐木馬在系統(tǒng)中悄悄落地。更危險的是，銀狐木馬隨后又繼續(xù)下載并執(zhí)行了 LockBit 5.0 勒索軟件，加密電腦中的重要數(shù)據(jù)并索要贖金，給受害者造成巨大損失。

圖2. 受害者收到的釣魚郵件

木馬分析

誘餌投遞

攻擊者通過郵件釣魚攻擊，欺騙用戶關(guān)閉360終端安全產(chǎn)品，之后又運行了附件中的木馬程序。附件中的壓縮包解壓后，會出現(xiàn)一個可執(zhí)行文件（exe 木馬）以及一個偽裝成“撤銷說明”的 doc 文檔。

圖3. 釣魚郵件中的附件內(nèi)容

部署過程

而這個exe就是攻擊者精心偽裝的木馬安裝程序，它表面上看起來像是正規(guī)文件，實際上是用 Inno 安裝程序打包的木馬。木馬的整個部署與工作過程如下，下面我們對其攻擊細節(jié)進行分析。

圖4. 木馬執(zhí)行邏輯流程示意圖

釋放白加黑木馬加載器

木馬安裝程序一旦運行，首先會釋放一組白加黑木馬加載程序。

反編譯后可以看到，木馬在安裝時會調(diào)用一個名為 a2guard.exe 的“白程序”（本身是合法軟件）。該程序帶有 Emsisoft Limited 的數(shù)字簽名（Emsisoft 是來自奧地利的知名殺毒軟件廠商）。攻擊者強行以參數(shù) “-k unistackgroup” 啟動它，使用該參數(shù)執(zhí)行，程序會去加載sciter.dll，這里即為被木馬利用的dll。

圖5. 被木馬篡改利用的白程序配置文件

加載圖片中隱藏的木馬

木馬DLL加載后，便開始了ShellCode的解碼與加載。攻擊者使用的是一張PNG圖片，但這張圖片并不普通——里面暗藏著木馬的核心代碼。與傳統(tǒng)偽裝方式不同，攻擊者沒有簡單粗暴地把惡意程序改個后綴名偽裝成PNG文件，而是更隱蔽地使用了LSB隱寫技術(shù)。

圖6. 隱藏木馬代碼的圖片

關(guān)于LSB隱寫

簡單來說，就是把惡意代碼藏在圖片“像素的最末位數(shù)據(jù)”里。

這種方式不會破壞圖片的外觀，受害者打開圖片時能正?？吹剑珜嶋H已經(jīng)悄悄把惡意代碼藏進圖像數(shù)據(jù)中。木馬DLL會按像素順序讀取R、G、B的最低位（每像素產(chǎn)出3個bit），把這些bit以MSB-first的順序組裝成字節(jié)；前 4 個字節(jié)作為 little-endian 的長度字段（payload 大小），合理性檢查（非 0 且 <= 0x6400000）；然后按長度讀取 payload 字節(jié)到緩沖區(qū)，最后使用一個長度為0x20的key進行異或解密。

在這個計算過程中，異或的Key長度為0x20。

圖7. 長度為0x20的KEY數(shù)據(jù)

安全分析人員根據(jù)其邏輯解密出了最終的ShellCode數(shù)據(jù)：

圖8. 解密出的最終ShellCode數(shù)據(jù)

解密后得到的是一個段ShellCode，里邊包含PE可執(zhí)行文件。進一步分析顯示，這其實是一個經(jīng)過混淆的.NET 程序：對其去混淆后發(fā)現(xiàn)，程序在資源區(qū)先被3DES加密封裝，解密后是用gzip壓縮的另一個.NET程序。按該程序的解密流程逐層還原后，得到的仍是一段高度混淆的.NET代碼——這是典型的加載器/釋放器（Loader/Dropper），內(nèi)部包含多層解密與解壓邏輯，用來掩蓋真正的載荷（通常是惡意DLL或EXE）。繼續(xù)對這些層級逐一解密和解壓，最終還原出一個遠程控制程序（RAT）。這一連串多層加密與混淆手法說明攻擊者刻意將惡意代碼隱藏起來，以逃避安全檢測并延緩分析與響應(yīng)。

圖9. 內(nèi)存解密代碼

解壓得到的文件經(jīng)過了嚴重混淆。通過特征比對可以確認，它與近期常見的“銀狐”類遠控木馬高度相似。這表明攻擊者使用的是銀狐木馬的“泛化版本”——也就是說，這類木馬已被多個黑灰產(chǎn)攻擊團伙購買并重復(fù)利用，成為一種被廣泛流通的網(wǎng)絡(luò)攻擊工具。

通過木馬程序的一些關(guān)鍵字可以發(fā)現(xiàn)，該遠控木馬具有常規(guī)遠控的功能，例如鍵盤記錄、遠程連接等功能。

圖10. 遠控功能列表

除了常用功能外，還另外增加了劫持錢包地址的功能。

圖11. 錢包地址劫持功能

投放勒索軟件

木馬在控制受害者設(shè)備一段時間后，又向受害者計算機投送了勒索軟件。

圖12. 投放勒索軟件

其中Chuongdong64.exe是LockBit 5.0勒索軟件木馬。

LockBit被認為是目前全球最活躍、最知名的“勒索軟件即服務(wù)”（RaaS）運營組織之一，自2019年出現(xiàn)以來持續(xù)迭代更新。最新變種LockBit 5.0（又名ChuongDoung Locker v1.01），名稱帶有明顯挑釁意味——因為LockBit 4.0曾被安全研究員ChuongDoung深度分析，導(dǎo)致其技術(shù)細節(jié)曝光。

從樣本對比來看，LockBit 5.0并非完全重新編寫，而是在LockBit 4.0的基礎(chǔ)上“升級改造”而來。兩者在字符串哈希算法、API解析模塊、服務(wù)掃描邏輯等關(guān)鍵組件上完全一致，動態(tài)API解析的代碼結(jié)構(gòu)也高度相似。這些特征明確表明，LockBit 5.0大量復(fù)用了LockBit 4.0的代碼庫。

LockBit 5.0支持使用命令行參數(shù)來執(zhí)行不同的加密功能，參數(shù)如下：

表1. LockBit 5.0參數(shù)列表?

加密算法

LockBit 5.0使用XChaCha20作為文件加密算法，XChaCha20是一種流密碼（Stream Cipher），它是ChaCha20加密算法的變體。主要特點是引入了擴展的隨機數(shù)（Extended Nonce），從而極大地提高了在大規(guī)模數(shù)據(jù)加密或長時間會話中的安全性，解決了隨機數(shù)碰撞（Nonce Reuse）的風(fēng)險，新的變種使用隨機16個字符的擴展名：

圖13. XChaCha20算法代碼

勒索信息

在完成加密操作后，勒索軟件會留下文本文件作為勒索信息。

圖14. 勒索軟件留下的勒索信息

打開勒索信中所留的暗網(wǎng)鏈接頁面，發(fā)現(xiàn)頁面中列出了多家企業(yè)的數(shù)據(jù)已被公開。

圖15. 勒索軟件在暗網(wǎng)中的受害者公示頁面

攔截防護

360安全大腦可攔截并查殺此類木馬，已安裝有360終端安全產(chǎn)品的用戶不必太過擔(dān)心。

圖16. 360安全大腦攔截木馬腳本運行

安全建議

l強化終端防護
在企業(yè)內(nèi)部設(shè)備中部署安全軟件，開啟實時監(jiān)控與自動更新，若安全軟件異常退出，應(yīng)立即斷網(wǎng)查殺。

l嚴控文件風(fēng)險
對不明壓縮包及可執(zhí)行文件，堅持不解壓、不運行、不輕信。有條件的情況下，應(yīng)將可疑文件上傳至可信的安全分析平臺進行檢測和上報。

l警惕釣魚信息
收到可疑文件甚至是此次傳播中出現(xiàn)的“防范木馬”等敏感關(guān)鍵詞的通知文件，務(wù)必通過官網(wǎng)、官方APP或電話等方式進行二次核實，勿直接點擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應(yīng)從官網(wǎng)或企業(yè)內(nèi)部平臺獲取，并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后，要先經(jīng)安全軟件掃描。

l及時應(yīng)急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號異地登錄等風(fēng)險征兆，應(yīng)盡快使用360等安全產(chǎn)品進行全面掃描，必要時重裝系統(tǒng)。

l行業(yè)重點防護
針對財稅或涉密等重點、敏感崗位，在業(yè)務(wù)高峰期執(zhí)行文件應(yīng)雙人復(fù)核，避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應(yīng)通過EDR、EPP等安全系統(tǒng)，對惡意軟件的運行及通信進行全方位告警和攔截。

銀狐木馬又雙叒叕“進化” ，遠控、勒索“混合雙打”發(fā)動攻擊

熱點排行

關(guān)注我們

銀狐木馬又雙叒叕“進化” ，遠控、勒索“混合雙打”發(fā)動攻擊

熱點排行

關(guān)注我們

銀狐木馬又雙叒叕“進化” ，遠控、勒索“混合雙打”發(fā)動攻擊