银狐木马再升级_巧妙利用.NET特性GAC劫持系统

2025-08-29 11:29:08
我要分享


微信扫码分享

近期，银狐木马更新频繁并不断变换攻击技术。其使用文件拼接、AutoHotkey模拟点击、ISO钓鱼等各类技术手段实施破坏，对政企单位造成了重大威胁。下面，以近期活跃的一类使用GAC特性进行程序劫持的银狐木马变种为例，对该家族木马的最新攻击技术进行解析。

传播

银狐木马的该变种通常采用“Setup-xxxx.exe”的命名方式，将木马主体伪装为各类安装程序进行传播，诱骗用户点击执行。

图1. 该银狐木马变种的典型钓鱼页面

木马分析

初始加载

用户下载到本地名为“Setup-xxxx.exe”的安装包，本质上是一个木马加载器（Loader）。用户误启动该程序后，加载器会进一步下载木马安装程序“js19.dbd”。下载地址为：

hxxps://jiaoshou.bj.bcebos.com/js19.dbd

图2. 加载器对木马安装程序下载地址字符串进行拼接

被下载的这个安装程序是一个动态链接库（DLL）文件。下载成功后，加载器程序会加载该DLL并执行其run函数。作者将该木马存储于百度智能云对象存储（BOS）中，不少安全软件的网络防护会因为“白名单机制”而对该地址直接放行。

检测安全软件

木马启动后会循环检测360Tray.exe、360Safe.exe、ZhuDongFangYu等360其他相关程序以及火绒的HRUpdate.exe，如果检测到这些程序，木马会尝试通过驱动终止相关安全软件程序。

图3. 木马通过扫描内存查找360相关进程

使用GAC发起劫持

进入到实质性的功能阶段，木马会创建以下目录，并将其设置为只读、隐藏属性。

C:\Program Files\SetupInfo565661

之后，木马会进一步从远程地址下载DLL功能组件，然后动态加载DLL组件，并将恶意DLL安装至全局程序集缓存，以实现多程序共享与持久化驻留。

全局程序集缓存（即Global Assembly Cache，缩写为GAC）是Windows系统中.NET Framework提供的一个特殊目录，用来存放经过强名称签名（Strong Name）的.NET程序集。它的作用是让多个应用程序能够共享同一个程序集，而不需要每个程序都单独复制一份。这样，既可以节省磁盘空间又能确保不同应用使用的是同一个版本的程序组件，避免出现版本冲突问题。但木马利用.NET的这一特性后，则可以实现对指定.NET程序的随意劫持。

木马利用该手段完成对System.Collections.Modle.dll的劫持操作后，会修改注册表以接管.NET应用程序域管理行为，进而实现对目标系统的全局影响。

图4. 木马通过GAC劫持System.Collections.Modle.dll

篡改配置与辅助文件下载

完成劫持操作后，木马会再次下载加密文件109.mdb到本地，重命名为adp.xml，并下载dfsvc.exe到本地，重命名为uninstall_xxxxx.exe（xxxxx为随机字符串）。

图5. 木马下载辅助文件到本地

木马接着修改注册表，将对应值修改为0，以允许未标记安全的ActiveX控件初始化和脚本执行。注册表路径为：

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201

利用系统功能执行

此后，木马会生成temp_1756284537.html和temp_1756284616.mmc两个临时文件。其中，temp_1756284537.html文件的内容，会利用之前关闭的ActiveX控件安全限制启动木马程序。

图6. temp_1756284537.html文件内容

之后的木马功能环环相扣：先利用MMC20.Application.1 COM组件，执行另一个临时文件temp_1756284616.mmc，进而触发HTML文件运行。而在启动此前创建的正常.NET程序uninstall_1awRtVHM.exe后，该程序会被自动加载已被劫持的System.Collections.Modle.dll模块组件。

图7. 木马利用系统功能执行后续组件

长期驻留与注入远控

正常程序uninstall_1awRtVHM.exe被执行后，在木马已经布置好的环境中，会加载被劫持的System.Collections.Modle.dll，进而变成木马的傀儡进程，傀儡进程会首先通过计划任务实现长期驻留。在计划任务启动后，木马安装程序通过MMC20 COM组件，执行mmc文件来引爆整个木马执行链。