银狐的反击——模拟点击放行拦截弹窗

2024-11-22 16:35:14
我要分享


微信扫码分享

银狐肆虐

“银狐木马”家族从2023年起在国内肆虐，该家族木马通常用钓鱼网页、即时通信工具、邮箱等方式向众多行业的从业人员投递钓鱼远控木马。在黑产团伙中该家族被广泛应用，并且不同团伙采用的攻击手法各异，加载“银狐”的方式也层出不穷，最终呈现的“银狐”木马版本也各有差异。

此家族木马主要目标是企业和机构内的管理、财务、销售及电商人员，通过精心设计和投递远控木马实施钓鱼攻击。一旦成功感染受害者计算机，木马可长期驻留并窃取敏感信息，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。

近期，银狐木马对抗技术又出现了新的变化。根据用户反馈，当有该家族木马在机器上运行后，360的防御检测系统会第一时间检测到危险并进行弹窗拦截。但是该木马并未就此罢休——新版本的银狐会利用模拟鼠标点击的方式试图点击拦截弹窗的“允许”按钮，以此让木马继续运行。

不过360对此也早有布局——当前最新版本的360主动防御系统已经可以对此类攻击方式进行有效的拦截。

图1. “模拟按键”拦截记录

木马分析

下面，通过一个受害用户的真实案例对银狐木马这一次的最新典型变种样本进行技术层面的分析说明。该典型木马样本是通过钓鱼手段误导用户主动下载到机器中并进一步执行的。木马主体伪装成安装包程序，并以“T20.1setupInstall.exe”命名。

程序一旦被执行，便会在“%ProgramFiles%\安装项目1”路径下释放一组白利用木马程序，其被利用的主体白程序名为srcds_x64.exe。该程序本身并无恶意，但在执行后会加载同目录下的NGClient64.aes文件。

图2. 木马释放到“%ProgramFiles%\安装项目1”路径下的白利用程序

而一旦srcds_x64.exe加载了NGClient64.aes文件后，便会在内存中对其进行解密，最终在内存中到一个存在恶意可执行代码的动态链接库（DLL）文件。通过分析后发现被加载的这个DLL会一直监控系统中是否出现了金山、火绒、360等安全软件的拦截弹窗。而一旦发现了弹窗，DLL则会调用mouse_event进行更进一步的模拟点击操作。