欧美午夜人成精品_好姑娘3完整版在线观看中文韩剧_性ⅩXX东北老太老头国产_一个添下面两个吃奶把腿扒开_日本波多野结衣无码黄色一级视频_国产剧情麻豆正在播放_亚洲欧美另类日韩变态首页_亚洲av免费影视_91免费在线播放_五月丁香婷婷综合

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到一批相對(duì)更為活躍的“銀狐”系列變種木馬。火絨安全工程師第一時(shí)間獲取樣本并進(jìn)行分析。分析發(fā)現(xiàn)，該樣本通過(guò)阿里云存儲(chǔ)桶下發(fā)惡意文件，采用AppDomainManager進(jìn)行白利用，并借助Python執(zhí)行惡意腳本下發(fā)Go語(yǔ)言后門(mén)，最終實(shí)現(xiàn)對(duì)電腦的后門(mén)權(quán)限長(zhǎng)期維持控制。目前，火絨安全產(chǎn)品能夠有效攔截和查殺上述病毒。火絨6.0的內(nèi)存防護(hù)功能具備精準(zhǔn)處理此類內(nèi)存加載病毒的能力，能夠及時(shí)識(shí)別和阻止惡意代碼在內(nèi)存中的執(zhí)行，從而保護(hù)用戶系統(tǒng)的安全。

查殺圖

一

銀狐再升級(jí)

歷經(jīng)兩年的持續(xù)演進(jìn)，銀狐組織（SilverFox）采用的后門(mén)程序已從早期的Gh0st、Win0s等傳統(tǒng)RAT，發(fā)展成了多語(yǔ)言混合版本。

本次捕獲的樣本采用了Go語(yǔ)言編寫(xiě)，具備信息竊取、命令執(zhí)行等基礎(chǔ)惡意功能。值得注意的是，銀狐組織的對(duì)抗技術(shù)也進(jìn)行了顯著升級(jí)：對(duì)此次樣本的進(jìn)程鏈進(jìn)行分析發(fā)現(xiàn)，攻擊者已經(jīng)摒棄了早期依賴內(nèi)存加載PE文件的方式，而是轉(zhuǎn)用一種"白文件+腳本"的新型利用鏈——即利用合法XML文件配合Python腳本實(shí)施攻擊。這種技術(shù)演進(jìn)使得整個(gè)攻擊過(guò)程中無(wú)需加載任何惡意PE文件(無(wú)任何黑DLL，全文本攻擊)，能夠有效規(guī)避基于ATT&CK矩陣的常規(guī)檢測(cè)手段，最終成功實(shí)現(xiàn)Go語(yǔ)言后門(mén)的持久化駐留。

而在溯源過(guò)程中發(fā)現(xiàn)，銀狐組織已經(jīng)能夠通過(guò)單臺(tái)服務(wù)器實(shí)現(xiàn)對(duì)上千臺(tái)終端設(shè)備的控制。這些受控設(shè)備主要集中在財(cái)務(wù)、國(guó)企、政府等部門(mén)。銀狐組織利用這些設(shè)備，通過(guò)企業(yè)微信、釘釘?shù)燃磿r(shí)通訊平臺(tái)進(jìn)一步下發(fā)信息，實(shí)施詐騙。

銀狐

二

樣本分析

樣本執(zhí)行流程圖如下：

樣本流程圖

該樣本偽裝成谷歌瀏覽器升級(jí)程序，并構(gòu)造過(guò)期簽名實(shí)施釣魚(yú)攻擊。

偽造程序

其采用火山軟件開(kāi)發(fā)平臺(tái)(易語(yǔ)言x64版本)進(jìn)行編寫(xiě)，惡意代碼被編譯在加密庫(kù)函數(shù)中。

火山遠(yuǎn)控

該惡意代碼會(huì)判斷進(jìn)程名稱是否為ngjklr1333.exe，如果不匹配則不執(zhí)行惡意代碼。

名稱判斷

之后，樣本生成目錄C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因?yàn)镵eePass.exe是樣本后期采用的白利用程序之一，所以樣本會(huì)先判斷環(huán)境中是否已經(jīng)存在KeePass進(jìn)程，若存在的話，則通過(guò)命令行結(jié)束taskkill /IM KeePass.exe /F進(jìn)程。

隨后，通過(guò)阿里云存儲(chǔ)桶獲取Python安裝包，并構(gòu)造解壓命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。

文件下載

接著，使用Microsoft.XMLHTTP ActiveX控件發(fā)起HTTP GET請(qǐng)求，其URL為https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/python312.zip。

Microsoft.XMLHTTP

之后，再次從阿里云存儲(chǔ)桶服務(wù)器下載惡意利用文件https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/k.zip，并解壓文件tar -xf Kp//k.zip -C [user_directory]/Kp。接著，創(chuàng)建進(jìn)程打開(kāi)KeePass.exe。

下載惡意利用文件

KeePass

KeePass.exe是一款開(kāi)源的密碼管理器，在該樣本中被用作白利用程序。其通過(guò)附帶的KeePass.exe.config配置文件實(shí)現(xiàn)AppDomainManager注入。

在.NET Framework中，exe.config文件通常被稱為“配置文件”，該文件包含控制應(yīng)用程序行為的信息。部分系統(tǒng)程序集（如System.Xml，System.Data，mscorlib等）的版本號(hào)會(huì)隨著.NET Framework的升級(jí)而更新。

該樣本解壓出的KeePass.exe.config配置文件利用

KeePass.exe.config

KeePass.config.xml配置文件定義了版本號(hào)2.57.1.16889，并具備控制KeePass啟動(dòng)行為、語(yǔ)言設(shè)置、插件兼容、界面布局、觸發(fā)器自動(dòng)操作等行為。其中的觸發(fā)器（Trigger）設(shè)置為自動(dòng)執(zhí)行，該觸發(fā)器觸發(fā)時(shí)，會(huì)從遠(yuǎn)程地址下載惡意代碼并解密執(zhí)行。

KeePass.config.xml

惡意代碼會(huì)利用第一階段下載的Python文件，通過(guò)Python代碼實(shí)現(xiàn)異或與base64解密，進(jìn)而自動(dòng)執(zhí)行解密后的惡意代碼。

Python代碼

解密后的代碼是一個(gè)后門(mén)Python腳本，它會(huì)下載偽裝成圖片的遠(yuǎn)程惡意可執(zhí)行文件，并在系統(tǒng)中創(chuàng)建多個(gè)具有計(jì)劃觸發(fā)功能和高權(quán)限（SYSTEM/Administrators）的計(jì)劃任務(wù)，以實(shí)現(xiàn)后門(mén)持久化。它還會(huì)利用注冊(cè)表和系統(tǒng)任務(wù)文件清除機(jī)制來(lái)隱藏計(jì)劃任務(wù)：

• task1 下載Go后門(mén)

• task2 創(chuàng)建計(jì)劃任務(wù)

• task3 計(jì)劃任務(wù)結(jié)束KeePass

• hidden_task 修改注冊(cè)表隱藏計(jì)劃任務(wù)

計(jì)劃任務(wù)結(jié)束KeePass

隱藏計(jì)劃任務(wù)

tmux.jpg是一個(gè)Go后門(mén)木馬文件，通過(guò)WebSocket進(jìn)行通信。該木馬首先會(huì)收集電腦信息和殺軟環(huán)境信息。

獲取電腦基本信息

之后，通過(guò)WebSocket與C2服務(wù)器進(jìn)行通信（C2服務(wù)器地址為fourier.ali-cloud.top:8055）。

C2配置

分析發(fā)現(xiàn)，該后門(mén)具有以下功能。

后門(mén)功能

0x3 CMD/Shell命令。

CMD/Shell命令

0x4 屏幕截圖、獲取瀏覽器數(shù)據(jù)。

屏幕截圖、獲取瀏覽器數(shù)據(jù)

0x6 代理功能。

代理功能

0x7 獲取Telegram密鑰。

備份Telegram

0x8 獲取getxshell密鑰。

獲取getxshell 密鑰

0xB 文件搜索。

文件搜索

0xC 上傳文件。

上傳文件

0xD 刪除文件。

刪除文件

0xE 下載文件。