银狐团伙再出新招，利用.NET特性隐蔽攻击

2025-03-12 18:37:25
我要分享


微信扫码分享

关于银狐

银狐木马是近年来国内最为活跃的远控钓鱼类木马，该木马与电诈活动紧密相关，是一类危害较高的木马家族。通常而言，银狐木马主要是针对企事业单位管理、财务、销售相关岗位人员或电商卖家进行钓鱼攻击。该家族木马主要通过伪装成与工作相关的文件（如发票或财税文件等）诱骗用户点击下载和执行，从而实现对目标用户计算机的远程控制。

近期，该木马团伙依然活跃，而与以往不同的则是该团伙出现了一类使用.NET特性发起攻击的案例。下文中我们将对此类案例进行分析介绍。

攻击分析

在此类攻击事件中，攻击者首先会发送带有钓鱼链接的PDF文件。

图1. 钓鱼PDF文件内容

攻击者之所以选择通过PDF文件携带钓鱼链接而非直接发送钓鱼链接,与360安全终端产品与通讯软件的拦截不无关系。通过各种途径直接传递钓鱼链接，极易被安全产品事先防御拦截，所以攻击者才会选择通过PDF、Excel等文件中的图片、文字来包藏钓鱼链接，以此试图蒙混过关。因此，用户如果见到通过PDF等文档直接内嵌链接的情况要格外谨慎，以防是钓鱼或其他类型恶意链接。

而用户一旦被误导后点击链接，就会直接调用浏览器触发下载行为。常见的攻击案例中，下载到的文件往往是一个经过伪装的压缩包，并且通常会使“解压文件后阅览.zip”、“查询明细.zip”等一类具有迷惑性的名称。

图2. 用户被误导后下载的钓鱼文件

对样本进行解压后，可以看到下面一个不寻常的组合（除exe文件外，其它文件一般都会被设置为隐藏属性）。

图3. 解压后的钓鱼文件

可以看到，文件中还包括一个与exe主程序同名的config文件。而打开这个config文件可以看到其内容如下：

图4. 配置文件内容

而对于这个配置文件的加载，便是我们本次要重点介绍的银狐木马所利用了.NET程序的一个特性。

在.NET应用程序的默认运行状况下，会自动读取这个与应用程序可执行文件（.exe）同名且带有.config扩展名的配置文件。而该配置文件采用XML格式，用于存储应用程序的运行参数以便在不修改代码的情况下调整应用程序的行为。而当前攻击案例中的银狐木马正是利用了这一特性，添加了一条MyAppDomainManager（使用自定义 AppDomain 管理器）的记录来指向ipc.dll这个动态链接库文件。

以下则是常见用户劫持的DLL文件代码结构：

图5. 常见用于劫持的DLL文件代码结构

在进行了这种配置后，主程序便会在初始化时自动加载文件中指定的ipc.dll文件，并执行其InitializeNewDomain(AppDomainSetup)完成初始化。

下面是两个劫持DLL的代码对比，可以看到其劫持的结构均相同。如果发现当前程序并非以管理员权限执行，便会尝试提升至管理员权限再次启动，成功后再执行后续的恶意代码。

图6. 初始化函数代码对比

完成上述初始化操作后，便进入了核心的病毒执行代码。解密病毒主体部分size.pe并执行病毒主体功能。

图7. 进入病毒主体功能的代码

当前分析的案例样本会利用注册表中的“UserInitMprLogonScript”实现长期驻留，该注册表位置会在用户成功登录系统时自动运行木马主程序。

图8. 木马通过修改注册表实现开机启动及长期驻留

病毒完成引导后，会启动perfmon.exe进程，然后注入到perfmon.exe进程里。

图9. 启动并注入perfmon.exe进程

最终的恶意载荷是一款功能强大的远控木马。其具备记录键盘输入、打开/关闭屏幕、在浏览器中搜索和删除用户数据、执行文件操作等常规木马所具有的功能。

图10. 远控木马功能代码

不仅如此，当前的银狐木马还会在受害者的电脑中下载IP-guard等其他工具来保护其木马主体不被查杀。

图11. 木马通过其他工具来保护木马主体

实现长期驻留后，攻击者将监控用户的一举一动，窃取用户的微信密钥与聊天记录文件来获取用户全部的聊天记录。此外，木马还会搜索并窃取设备中疑似是企业财税文件、企业工资单等企业财务相关数据，最终将这些信息售卖给诈骗团伙。

利用这一机制，木马作者可以使用任意.NET程序做为木马的“主程序”，加载其病毒代码执行，以此实现与免杀相同的效果。不过360安全终端产品已对此类问题进行处理，使用360终端安全产品的用户无需过分担心，360终端安全产品可以正常防御该病毒木马的攻击。怀疑中招的电脑，也可以使用360终端安全产品进行查杀。

图12. 360客户端拦截银狐木马

热点排行

银狐团伙再出新招，利用.NET特性隐蔽攻击

热点排行

关注我们