再谈银狐：百变木马阴魂不散

2024-11-15 19:26:57
我要分享


微信扫码分享

银狐概况

银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播。它通常利用具有诱导性的文件名，如“成绩单”、“转账通知单”等，通过QQ、微信等即时通信软件发送钓鱼文件或网站链接，诱导受害者点击。

此外，银狐木马擅长使用白利用、内存loader等技术手段，呈现多阶段的投递方式，并使用云笔记存储其payload数据。它能够迅速传播和潜伏在系统中，具备高度隐蔽性和复杂的功能。

传播方式

搜索引擎SEO推广

一直以来，银狐类钓鱼木马惯用的传播手段便是利用搜索引擎的SEO推广机制，将流量吸引至自行构建的虚假站点，再通过虚假站点的误导性内容进行钓鱼传播。

一旦有用户陷入误导，便会跟随虚假指引下载木马安装包，主动安装木马。这类投放方式面向的是普通大众，而虚假站点通常也是直接仿冒各类知名大站，普通用户往往难辨真伪。

图1. 某搜索引擎中搜索到的虚假钓鱼站点

图2. 虚假钓鱼站点页面

工具软件仿冒传播

除了通常的SEO推广外，银狐还会仿冒成各类热门的工具软件，目前已知被仿冒过的工具软件主要有：Telegram、v2ray、XShell、MobaXterm等。

例如搜索“telegram中文版下载”，便能够找到大量钓鱼站点，或是找到给钓鱼站点引流的帖子、教程等。这是一类长期活跃的钓鱼群，掺杂有多个木马家族。此类传播方式主要面向的是IT管理人员、外贸从业人员或涉及灰黑产的人士等，一般隐秘程度较高。

图3. 伪装为SecureCRT的银狐木马下载页面

钓鱼页面定向投放

在钓鱼页面传播，攻击者则更倾向于针对企业职员进行定向投递。税务稽查类钓鱼页面通常是此类钓鱼攻击实施中的核心一环。攻击者一般通过聊天软件、邮件、短信等方式发送欺诈链接给用户，诱骗用户打开进而下载木马。比如：

图4. 带有木马安装包的钓鱼页面

网盘/OSS挂载木马包

这是目前主流的木马安装包的挂载形式。由于安全软件对木马的穷追猛打，使用自建站点传播木马容易被整站封禁，成本较高，导致很多银狐类木马在对抗过程中改用了网盘或云服务商提供的Object Storage Service (OSS)来挂载木马。这样也让防护人员很难根据站点IP或域名进行封禁或者溯源。而在木马下载链条中，只能对单个下载页面进行相对精准的定位和封禁。

图5. 360拦截挂载于网盘中的恶意木马包

微信传播

需要特别注意的是，微信作为目前国内最主流的通讯方式也必然成为了攻击者实施其钓鱼攻击而必然选择的传播渠道。而利用微信的传播手段根据账号类型通常又会分为两类：一类是仿冒其他人的微信号，加群或者加个人发起钓鱼攻击。另一类则是利用已经中招电脑上登录着的微信，控制其账号向好友和群内发起钓鱼攻击。

而常见的利用微信的传播方法有如下几种：

发送虚假钓鱼图片

攻击者会在图片中置入下载链接或二维码，之后指引用户使用电脑打开钓鱼站点进一步安装木马的。这种方法虽然不容易直接被安全软件拦截，但是需要用户手动操作。

图6. 攻击者通过微信发送带有恶意二维码的钓鱼图片

直接在群内发送钓鱼文件

这类方法是最直接、最常见的一类钓鱼投递方式，但缺点也较为明显——就是容易被封禁，也容易被安全防护软件拦截。

图7. 直接在微信群中发送钓鱼文件

使用Excel、PDF等方式钓鱼

因为直接发送钓鱼木马容易被拦截，攻击者便又想出了把木马藏在文档中进行发送的方法。

图8. 潜藏在Excel文档中的钓鱼链接

利用微信收藏笔记方法进行传播

此类手段同样也是为了避免直接传文件容易被封禁和被安全软件拦截。攻击者又想出了利用微信笔记的方式绕过封禁进行传播的方法。

图9. 利用微信笔记传播钓鱼文件

以上是银狐的一些主流传播方式。可以看出，银狐的传播方式也是在和安全产品的对抗中不断演变而来，而这个脚步显然并不会就此停止，而是会继续演化。

攻击对抗

在完成钓鱼的传播后，木马还要对抗安全软件，实现长期驻留控制用户电脑的目的。以当前较为流行的银狐家族木马为例，主要有几种对抗方式。

利用RPC管道远程创建计划任务与服务

服务和计划任务是木马攻击中非常常见的驻留手段。木马可以通过命令或者API调用的方式实现服务或计划任务的创建，例如利用“SC Create”命令或者调用CreateService API创建服务。由于这类命令或者API被大量木马使用，因此大部分安全软件也对这类敏感调用进行拦截。银狐木马为了绕过安全软件的拦截，另辟蹊径使用RPC管道方式创建计划任务与服务。

RPC管道方式创建计划任务是MS-TSCH协议注册计划任务的一种改进方法。传统方式下，ITaskSchedulerService接口中导出的方法SchRpcRegisterTask可被用于创建计划任务，调用者只需要指定计划任务的配置XML并调用该方法即可创建计划任务。因此木马常使用SchRpcRegisterTask方法代替schtasks命令或ITaskService接口创建计划任务，来绕过安全软件检测。

图10. SchRpcRegisterTask方法参数介绍

而银狐木马对该方法进行改进，改进主要分两部分：

构造RPC数据包

调用NdrClientCall3函数向COM Server发送数据包模拟SchRpcRegisterTask方法调用。

图11. 银狐调用NdrClientCall3函数模拟SchRpcRegisterTask方法调用

构造RpcStringBindingComposeW函数调用

在RpcStringBindingComposeW函数调用中指定RPC端点为“\\pipe\\atsvc”，这使得RPC通信通过管道方式实现而非常规方式。

图12. 银狐RPC调用初始化部分代码

这两个改进有效规避了对SchRpcRegisterTask方法的调用，并且避免了出现相同的路径参数，从而规避常规杀软、EDR产品的监测。

RPC管道方式创建服务的攻击手法最早公开于2022年，该方法通过简单调用CreateFile函数和WriteFile函数模拟通过管道进行RPC通信，向服务管理相关的COM Server发送特定的消息实现服务的创建、执行、删除等操作。该方法规避了对敏感API的调用，仅使用简单的CreateFile函数和WriteFile函数就完成命令执行。

图13. 2022年公开的CreateSvcRPC项目测试示例

进入系统后的“大展拳脚”

银狐木马主要利用上述手段实现命令执行目的后，便会使出浑身解数在系统中进行各类恶意操作。

SecLogon伪造父进程

SecLogon滥用方法最早公开于2021年。起初，CreateProcessWithTokenW和CreateProcessWithLogonW函数被用于以辅助登录的方式启动进程，也叫SecLogon，最常用的地方就是Windows的UAC弹窗。然而，这两个函数本质是以RPC调用的方式实现SecLogon的，需要调用者将自身的进程信息告诉COM Server，COM Server才能知道是哪个进程发起的SecLogon。

因此这两个函数会调用GetCurrentProcessID函数获取自身PID并发送给COM Server，COM Server会将其作为新创建进程的父进程PID。而GetCurrentProcessID函数是通过TEB结构体获取当前进程PID的，这就存在被利用的风险——攻击者可以修改当前进程TEB，从而让GetCurrentProcessID函数获取错误的PID并发送给COM Server。

图14. SecLogon滥用方法介绍

银狐木马正是利用这一方法，调用CreateProcessWithTokenW 和CreateProcessWithLogonW函数创建进程并给COM Server发送了错误的PID，从而导致新创建的进程其父进程PID是错误的。“银狐”木马通过该方式伪造父进程，构造了一个错误的进程链迷惑安全软件，从而绕过安全软件的拦截。

发送消息尝试结束安全软件

银狐木马在进入机器后，会遍历窗口查找安全软件的窗口，并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。

图15. 银狐尝试发送消息关闭安全软件

模拟点击安全软件拦截弹窗

银狐木马在运行生命周期中会创建一个辅助线程，该线程的功能就是循环查找安全软件的拦截弹窗，一旦出现安全软件拦截弹窗，立即通过mouse_event、InjectMouseInput、NtUserInjectKeyboard等函数，模拟用户操作来点击“允许”按钮，从而规避拦截。

图16. 模拟鼠标点击来关闭安全软件拦截弹窗

PoolParty注入技术

PoolParty注入技术最早公开于2023年。该技术包含8种不同的注入变种，其主要原理是通过将恶意工作项插入目标进程的线程池中，从而使目标进程执行插入的工作项，实现另类的代码注入。该方法能避免对CreateRemoteThread等敏感函数的调用，从而规避安全软件的拦截。

图17. PoolParty注入技术图解

银狐木马利用PoolParty注入技术代替常规的代码注入方法，将代码注入到系统进程中执行，规避安全软件拦截。

图18. 银狐利用PoolParty注入技术部分代码

此外，木马还会使用其它攻击方式。这其中通常包括利用一些安全软件、系统维护工具的驱动来关闭安全软件。利用软件兼容性策略，诱骗安全软件自行关闭等方法。

可以说银狐是一个武力值颇高的狡猾木马。使用360终端安全产品，均能够有效应对这些攻击技术。

系统驻留

一般病毒木马，即使有电脑中招，用户通过杀毒清理或杀软的主动扫描、推送扫描机制，也能够很快对其灭活。所以在完成杀软的防御对抗后，木马还要想方设法地延长其存活时间。

常见的木马驻留方式，主要是Run自启动项、服务项目、计划任务等。这些方式，在银狐木马中也都有体现，但银狐木马对其进行了一些“创新”。

利用系统程序，加参数脚本实现启动。

利用系统中的一些程序，实现特定功能，这在木马攻击中非常普遍，银狐木马会选择一些较少被使用到的程序实现该方法。比如，木马使用FTP静默执行特定脚本的方式，实现启动。系统的FTP程序本是用来访问FTP站点的，但通过特定的命令参数，可以使用程序的启动，连环利用类似的策略，攻击者就可以实现在没有常规木马文件落地的情况下实现木马的驻留。

图19. 木马利用FTP实现系统驻留

利用企业管控软件、安全软件实现长期驻留

企业管理管控软件，本身是服务于企业对设备的管理的，具有一定的监控和控制功能。这些软件都是属于正规软件，一般不会被安全软件检出和清理。同时这类软件本身具有防卸载、防关闭的能力，普通用户如果被安装，也很难卸载清理。银狐木马就是看中了这一点，在木马驻留后不久，就会迅速向用户电脑安装这类软件，实现长期控制。

在我们协助用户处理木马时，已经多次出现同时安装多款企业管控软件的情况：