银狐木马又双叒叕“进化” ，远控、勒索“混合双打”发动攻击

2025-12-11 19:46:34
我要分享


微信扫码分享

近期，我们在处置用户求助过程中，发现了一类新的银狐木马攻击方式。这个银狐木马的变种不仅能够远程控制受害者的电脑，还会进一步投放 LockBit 5.0 勒索软件，对电脑中的文件进行加密，给受害者造成双重打击。

攻击剧本

图1. 混合攻击入侵剧本

此次攻击以一种常见的电诈式社工手法开局。受害者首先接到一个自称“工商局”的电话，声称有人举报其公司网站存在不当内容，并要求受害者主动联系“投诉人”协商，否则将面临处罚。在对方的诱导下，受害者添加了所谓“投诉人”的联系方式。

随后，攻击者以“投诉人”的身份向受害者发送一封“撤销举报”的邮件。邮件内容经过精心伪装，诱导受害者点击链接或下载附件。最终受害者按照要求打开邮件中的恶意文件，银狐木马在系统中悄悄落地。更危险的是，银狐木马随后又继续下载并执行了 LockBit 5.0 勒索软件，加密电脑中的重要数据并索要赎金，给受害者造成巨大损失。

图2. 受害者收到的钓鱼邮件

木马分析

诱饵投递

攻击者通过邮件钓鱼攻击，欺骗用户关闭360终端安全产品，之后又运行了附件中的木马程序。附件中的压缩包解压后，会出现一个可执行文件（exe 木马）以及一个伪装成“撤销说明”的 doc 文档。

图3. 钓鱼邮件中的附件内容

部署过程

而这个exe就是攻击者精心伪装的木马安装程序，它表面上看起来像是正规文件，实际上是用 Inno 安装程序打包的木马。木马的整个部署与工作过程如下，下面我们对其攻击细节进行分析。

图4. 木马执行逻辑流程示意图

释放白加黑木马加载器

木马安装程序一旦运行，首先会释放一组白加黑木马加载程序。

反编译后可以看到，木马在安装时会调用一个名为 a2guard.exe 的“白程序”（本身是合法软件）。该程序带有 Emsisoft Limited 的数字签名（Emsisoft 是来自奥地利的知名杀毒软件厂商）。攻击者强行以参数 “-k unistackgroup” 启动它，使用该参数执行，程序会去加载sciter.dll，这里即为被木马利用的dll。

图5. 被木马篡改利用的白程序配置文件

加载图片中隐藏的木马

木马DLL加载后，便开始了ShellCode的解码与加载。攻击者使用的是一张PNG图片，但这张图片并不普通——里面暗藏着木马的核心代码。与传统伪装方式不同，攻击者没有简单粗暴地把恶意程序改个后缀名伪装成PNG文件，而是更隐蔽地使用了LSB隐写技术。

图6. 隐藏木马代码的图片

关于LSB隐写

简单来说，就是把恶意代码藏在图片“像素的最末位数据”里。

这种方式不会破坏图片的外观，受害者打开图片时能正常看到，但实际已经悄悄把恶意代码藏进图像数据中。木马DLL会按像素顺序读取R、G、B的最低位（每像素产出3个bit），把这些bit以MSB-first的顺序组装成字节；前 4 个字节作为 little-endian 的长度字段（payload 大小），合理性检查（非 0 且 <= 0x6400000）；然后按长度读取 payload 字节到缓冲区，最后使用一个长度为0x20的key进行异或解密。

在这个计算过程中，异或的Key长度为0x20。

图7. 长度为0x20的KEY数据

安全分析人员根据其逻辑解密出了最终的ShellCode数据：

图8. 解密出的最终ShellCode数据

解密后得到的是一个段ShellCode，里边包含PE可执行文件。进一步分析显示，这其实是一个经过混淆的.NET 程序：对其去混淆后发现，程序在资源区先被3DES加密封装，解密后是用gzip压缩的另一个.NET程序。按该程序的解密流程逐层还原后，得到的仍是一段高度混淆的.NET代码——这是典型的加载器/释放器（Loader/Dropper），内部包含多层解密与解压逻辑，用来掩盖真正的载荷（通常是恶意DLL或EXE）。继续对这些层级逐一解密和解压，最终还原出一个远程控制程序（RAT）。这一连串多层加密与混淆手法说明攻击者刻意将恶意代码隐藏起来，以逃避安全检测并延缓分析与响应。

图9. 内存解密代码

解压得到的文件经过了严重混淆。通过特征比对可以确认，它与近期常见的“银狐”类远控木马高度相似。这表明攻击者使用的是银狐木马的“泛化版本”——也就是说，这类木马已被多个黑灰产攻击团伙购买并重复利用，成为一种被广泛流通的网络攻击工具。

通过木马程序的一些关键字可以发现，该远控木马具有常规远控的功能，例如键盘记录、远程连接等功能。

图10. 远控功能列表

除了常用功能外，还另外增加了劫持钱包地址的功能。

图11. 钱包地址劫持功能

投放勒索软件

木马在控制受害者设备一段时间后，又向受害者计算机投送了勒索软件。

图12. 投放勒索软件

其中Chuongdong64.exe是LockBit 5.0勒索软件木马。

LockBit被认为是目前全球最活跃、最知名的“勒索软件即服务”（RaaS）运营组织之一，自2019年出现以来持续迭代更新。最新变种LockBit 5.0（又名ChuongDoung Locker v1.01），名称带有明显挑衅意味——因为LockBit 4.0曾被安全研究员ChuongDoung深度分析，导致其技术细节曝光。

从样本对比来看，LockBit 5.0并非完全重新编写，而是在LockBit 4.0的基础上“升级改造”而来。两者在字符串哈希算法、API解析模块、服务扫描逻辑等关键组件上完全一致，动态API解析的代码结构也高度相似。这些特征明确表明，LockBit 5.0大量复用了LockBit 4.0的代码库。

LockBit 5.0支持使用命令行参数来执行不同的加密功能，参数如下：

表1. LockBit 5.0参数列表

加密算法

LockBit 5.0使用XChaCha20作为文件加密算法，XChaCha20是一种流密码（Stream Cipher），它是ChaCha20加密算法的变体。主要特点是引入了扩展的随机数（Extended Nonce），从而极大地提高了在大规模数据加密或长时间会话中的安全性，解决了随机数碰撞（Nonce Reuse）的风险，新的变种使用随机16个字符的扩展名：