“银狐”来袭:从办公终端异常到黑产窃密行动全解析
“银狐” 并不是一个单独的黑产团伙,而是一个当前在黑产圈广泛使用的、去中心化传播的黑产木马,众多黑产团伙都在尝试获取、修改和使用。
事件背景
2024 年 12 月 13 日晚 11 点左右、某客户单位员工在加班时发现其外网办公终端鼠标自动移动、并点击查看微信聊天记录。
怀疑该终端感染远控木马、随后自己尝试多个终端杀软进行自动查杀未检出。
在自己进行断网、硬盘隔离操作及一些软件卸载操作后、通知到我们的工程师。
2024 年 12 月 14 日、 周六 10 点左右。我们工程师到达现场开始排查。
排查过程
由于受控 DMZ 区终端未部署任何对外服务、且严格依据系统更新及口令复杂度要求执行。
且该单位存在近期试用员工试用后便自己离职的异常人事情况。
故一开始的调查方向倾于内部人员所引起的数据泄漏。
优先排查了 USB 使用记录及是否由于内部人员盗用口令导致:
图源@君立华域渗透测试研究中心
对每个 U 盘的使用者进行询问发现并无作案动机因素。
且受控终端中未开启 RDP 服务,种种情况表明也非内部人员口令盗用所致。
排查是否存在恶意可疑程序时、发现存在奇怪的自启动项:
图源@君立华域渗透测试研究中心
该程序签名描述为育碧游戏崩溃报告相关、但程序名及目录均极为可疑。同时查看 $MFT 情况、发现该文件时间戳曾被篡改过:
并被加到了 windows-defender 的异常排查项中且该目录还被设置成了隐藏目录。
这里由于一开始其它杀软直接将 windows-defender 服务关闭了、最开始反而忽略掉了、浪费了一些时间。
对该目录下文件进行简单分析即可发现异常:
很明显 libcef.dll 为恶意 dll . 而 4Y0vlga.exe 为所利用的白程序加载器:
毫无疑问,这应该就是后续用于通信的远控后门了。
但是还有一个关键问题: 到底是怎么中招的昵?
对系统中所有涉及进程执行相关的日志进行分析、可以查找到添加反病毒例外的时间戳为: 2024/11/27 20:33:26
而在 2024/11/27 20:33:25 时、系统有发现木马程序:
windows-defender 有检测、但是没有拦截成功、之后就被程序正常创建进程并添加到排除项了。
自此基本可以确定被攻击路径:
11 月 27 日该员工在
DMZ区办公终端中违规尝试TG聊天软件、在尝试对TG进行汉化时、接收到了从TG群组中发送过来的钓鱼汉化包、之后攻击者潜伏了一段时间或一直在晚上下班时间段悄悄尝试挖掘该终端中的敏感业务数据、直至 12 月 13 日该员工加班刷手机时发现电脑桌面异常情况。
样本分析
对所捕获到的样本进行分析、我们发现 11 月份到 12 月份之间的这类样本都存在特征上高度的可似性与流程上的一致性。
流程与特征
所有此类攻击行动往往是由一个初始的游戏或是其它所伪造的 xxxx程序.exe 开始、在本次事件中是由一个 TG 语言替换程序开始:
一旦受害者点击运行后便会从 ipv6域名ad59t82g.com中下载相关的恶意组件, 并且释放一个xxxGame.exe这一类与游戏相关的白程序作为加载器。另外加三个.bmp或.tmp格式的恶意图片。从中经过xor解码后提取出恶意的dlllibcef.dll伪装成chorimum相关的cef 处理库。
而在本次事件中我们所发现的 libcef.dll 已经不像是最初的未进行过膨胀的初始版本:
我们这里所捕获的相比源文件足足膨胀了几万倍、所以在一开始直接上传沙箱时沙箱会直接自动跳过不采取任何分析、多次上传后才逐渐有引擎能够检出:
从关联的样本看可以发现执行模式基本都是一致的:
所有的恶意 dll 的文件说明都含有校园政务相关字样。
而作为加载器的则分别是 劲舞团联合登陆器.exe 或模仿 LOL 游戏启动器这一类的白程序、各不相同。
在从恶意域名 ad59t82g.com 中下载下来了 text.bmp、d.bmp 及 t2.bmp 后三个文件后会在受害主机中生成一个随机目录:
并将三个文件分别储存为: t3d.tmp 、t4d.tmp 以及 t5d.tmp
接着会通过密钥 lalala123% 将 t3d.tmp 解压得到白程序游戏加载器及相关的两个白 VC 运行时库。
之后从 t4d.tmp 中通过异或 0x67080000 得到 libcef.dll.
t3d.tm 中解压出来的白程序加载器则会将主要的恶意程序 libcef.dll 通过 dll 侧加载的方式加载到内存中、然后通过检查窗口名的方式对国内常见杀软进行检查。
若未检测到杀软之后则会将 4Y0vlga.exe 这一类随即名称的白游戏加载器添加到注册表自启动项中:
SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
并命名为 WINDOWS . 这也是为何我们在排查时首先可以看到这个奇怪的自启动项的缘故:
之后则会通过调用 WINDOWS API shellexecuteA 函数来执行我们的白游戏加载程序。
而如果有通过窗口名检测到国内杀软时、该程序则会再从 ad59t82g.com 中下载一个 base64 编码的 powershell 命令、添加 windows-defender 排除项目的指令将整个恶意目录添加到 windows-defender 排除项中去。
在自启动项等持久化操作及杀软排除项执行完毕后、libcef.dll 会使用同样的异或密钥异或 t5d.tmp 解码出 shellcode 并注入。
shellcode 中会首先通过搜索 codecode 或 codemark 这一类存在版本差异的硬编码字符来检索到 C2 的地址配置。在本次现场所发现的 C2 地址则是: 118.107.46.107
在得到 C2 地址后之后就是 winos4.0 正常的与 C2 进行心跳包同步,
后续则就是 winos4.0 银狐木马的正常后门功能了:
本文所有图片源自 @君立华域渗透测试研究中心
不过比较少见的是该后门中似乎还额外添加了专门针对 chrome 中加密货币钱包插件的检测:
MetamaskOKX Wallet
结论
从样本特征及流程来看、本次应急响应所发现的攻击活动应该不是专门针对我们该客户单位的特定攻击行为。
样本 libcef.dll 在文件描述中特地标注的 校园政务 以及特意使用多个游戏相关的白程序来作为启动器、以及少见地会专门通过屏幕远程连接过来翻取微信记录等行为。
都说明这应该是某个惯用银狐木马的黑产团伙专门针对我国教育行业所开展的窃密行动。
截至目前、该恶意后台下发地址仍未完全关闭:
说明有关的钓鱼活动仍在活跃当中,与高校及教育相关的行业客户朋友应对此类攻击保持密切关注。
IOC
-
• ip/domain:
ad59t82g[.]com
202[.]79[.]173[.]4
104.21.22.88
118.107.46.107
-
• SHA256Hash
2d48bc4059ae1cf13a998927326ce4bf0e86fa63660b74934c1576f0dccbb84d libcef.dll
c9817d415d34ea3ae07094dae818ffe8e3fb1d5bcb13eb0e65fd361b7859eda7 NetDiagnotor.exe (天谕客户端检测工具)
2b60c207e6be699094f197d60a67161c58be6fe4d380ef5112bba88cd1b8331fLauncher.exe (LOL启动程序)
284cf31ebb4e7dc827374934ad0726f72e7aaef49cadc6aa59d2a2ff672d3fe8 gpatchex.exe (梦幻西游更新程序)
b2a3aaf4eb4deb85462e1ee39c84caf2830091c1bff8014ad13147897b25e24c Duoyi(战盟安装程序)
b763d77b7aaa83d6c4a9e749cd3c7638127e755d3dc843b15b6c4afce1f468b5 劲舞团联合登录器.exe (窗口化)
dcdbc3b246233befa25b67909a01b835f1875f4047875ef13f1b801cd2da6fcd Duoyi(战盟安装程序)
3fae0495fd0acc7722c2482c0ef3c6ab9ee41acbcaac46a8933c7b36b8896378 crashreporter.exe
f41236ab5ceffc5379fcf444de358cbc6f67beb31d0e0fd3f7ed0f501eb740ff yxqxunyou.exe (英雄联盟优化)
80b1d6411e29e51e54f20f46856d31b28e087e9244693e65d022b680c4ba00ce劲舞团联合登录器.exe (窗口化)
1a48347f5fc7c63cc03f30810f961133bd3912caf16ac403e11bc3491117181d manualupdate.exe (天谕手动更新工具)
8748bb7512f16f8122779171686abe0fa0060f1126298290e240457dc90d0aa7MatRepair.exe (反恐行动客户端修复程序)
1354796b44239eef177431584848029161c232401a9580481dbfb5196465250e you.dll
bef32532923903b12f04b54dd06ec81661f706c3b1397bc77c45492db3919248 you.dll
033965f3063bc2a45e5bd3a57ffce098b9308668d70b9b3063f066df5f3e55dd you.dll
922512203c7b9fa67e8db2f588ff4945f63e20c4bc0aafccdba749a442808ace you.dll
04edb6585118d09205ee693a54249ed68ebbf68b3fc3d711d2aa0c815b7b3a23 shellcode
51c7f320b95a64bcff050da86c7884bb4f89a5d00073d747f0da7345c8a4501f学籍系统.dll
ff0c28c81cd0afd78f78c79863c9f4c8afd9d3877a213dfc2dbb55360b7d93ab ConsoleApp2.exe
a27dc6e5aea0c3168117cfde2adb01f73f20881fc6485b768915216c46115064 差异屏幕.vll
8f0079a41a262536f502b4b57473effd6ab7955bc2d6e99e0910df18e990a9f6文件管理.vll
37104f3b3646f5ffc8c78778ec5fdc924ebb5e5756cb162c0e409d24bedf406d上线模块.dll (online module)
a30b68ed39c1517d10b747c2fcd7a72cb12dc8f434203243e7c50df0e56d17d0 登录模块.dll (login module)
7f4836d0c0061c79e1d28e59f4d6e66ecb26a412e77660aa4d4bf25b50a165e2Crypto.com买币教程~.exe
217bc69394f4a07b25d503cc9557fac274c0a52be44d1079ade7d942936e83f8数据异常核对.exe
1354796b44239eef177431584848029161c232401a9580481dbfb5196465250eMatRepair.exe
35bc302812d841b6bcd357693ec270caf570210b648b7dfd7c24b0d812aacf2bEAappInstaller.exe
cdceea00a5f53e49063c455eea3f6a62c0713d01813a55a2427ad758d11a15bf 恶意 MSI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君立华域-网络安全运营服务
