數字世界的暗流涌動之中,新型惡意代碼的迭代從未停止,“銀狐”系列木馬變種正以隱蔽之態滲透各類終端設備。銀狐于2020年首次現身,截至目前,其發展態勢已漸趨復雜,攻擊手段更為強勁。銀狐及其源代碼的二次售賣在地下灰色世界已經形成"產業鏈",近年來不斷進化、高頻出現,為終端安全防護工作敲響了警鐘。

      它通過不斷升級自保手段,利用“免殺”技術躲避安全軟件的檢測,從而得以在用戶設備中長時間潛伏。其變種代碼結構經過不斷精心偽裝,不僅具備傳統的竊取信息、遠程控制等功能,相對于銀狐最開始出現時,還增加了防御的難度。已對個人用戶、企業的終端安全構成了嚴重威脅,需引起高度重視并采取有效應對措施。
      經火絨安全工程師的深度逆向分析,這批“銀狐”變種木馬的特性逐漸明晰。它們不僅具備精準的沙箱檢測能力,該惡意樣本還使用了OLLVM（基于LLVM架構的代碼混淆工具）和VMProtect（軟件保護系統）對自身進行基于代碼變異、虛擬化原理的保護,增加了對其分析的難度。通過篡改進程權限、干擾防護機制等方式削弱設備防御能力。這類銀狐變種運用漏洞驅動TrueSight突破防護壁壘,關停殺毒軟件核心進程,為后續攻擊掃除障礙。
      目前,火絨安全產品可有效對此類銀狐變種攔截查殺,建議廣大用戶及時更新火絨病毒庫以提升防護能力。目前,火絨安全產品可有效攔截查殺上述病毒，建議廣大用戶盡快更新火絨最新版本,提升防護能力。

火絨查殺圖

 該樣本總體上來說攻擊方法相比較之前的銀狐樣本并未有太大改變, 在往期分析報告中也分析到過與本文樣本行為相似的惡意樣本, 地址在參考文章中。———附錄：參考文章[5]

       與往期分析報告不同的是, 本文樣本的代碼混淆強度和方式得到了明顯提升, 這背后可能對應著一條完整的"免殺"產業鏈。在"黑客"群體中, 有這樣一種人: 其掌握著對代碼進行混淆、變異等各種手段欺騙安全軟件使其對原本"報毒"的樣本不再報毒的手段, 專門通過為其他人的病毒提供"免殺"服務來謀取利益。

       但是只要代碼還需要被二進制化執行, 就一定可以被分析。其考驗安全從業人員的功底, 也意味著安全軟件的自動化分析流程不斷面臨新的挑戰。

附錄

參考文章:

[1] 成熟后門在野外“泛濫”,加載 Rootkit 對抗殺軟-技術文章-火絨安全

[2] SMS短信驗證服務或存風險,小心賬號隱私“失守”-技術文章-火絨安全

[3]防守實戰 | 蜜罐反制之信息收集木馬逆向分析 - FreeBuf網絡安全行業門戶

[4]摩訶草APT組織最新漏洞攻擊樣本分析 - 安全內參 | 決策者的網絡安全知識庫

[5] 反沙箱與殺軟對抗雙重利用,銀狐新變種快速迭代-技術文章-火絨安全

[6] DEC/RPC協議與Windows服務創建淺析(銀狐原始進程隱匿方式之一）-軟件逆向-看雪論壇-安全社區|非營利性質技術交流社區

[7] Telegram漢化暗藏玄機,悄無聲息釋放后門病毒-技術文章-火絨安全

HASH:

C&C: