GA黄金甲

首页 > 关于GA黄金甲 > 新闻动态 > 深度解读

告发“银狐」劓容，让威胁无处逃形

颁布功夫 2024-08-08

编者按：

近期，GA黄金甲北斗安全运营中心通过天阗威胁分析一体机（TAR）监测到一路 “(毒鼠)衔接C2服务器”告警事务，第一功夫与产品线进行溯源取证分析，确认源头是某员工装置了LetsVPN。经金睛团队分析判定，该LetsVPN装置包被绑缚了银狐的WinOS 4.0远控后门。本文将具体告发这一事务的始末，分解其中的安全缝隙与风险，为企业网络安全防护提供警示与借鉴。

何为“银狐”？

银狐木马是一类针对特定指标群体进行垂钓攻击的恶意软件，其重要攻击对象蕴含企事业单元的治理人员、财政人员、销售人员、金融从业人员以及电商卖家等。这类木马通过多种伎俩进行传布，对受害者的推算机系统进行节造和窃取隐衷数据，进而为后续的诳骗活动提供方便。

“银狐”传布方式

银狐木马重要通过以下几种方式进行传布：

1、即时通讯工具（IM）垂钓

攻击者通过QQ、微信等即时通讯工具发送垂钓文件或网站链接，诱导受害者点击并进行传布。这些文件或链接通�；峒僮俺捎涤杏盏夹缘拿�，如“成就单”“转账通知单”等。

2、垂钓网站

攻击者会伪造税务机关、金融机构等官方网站的垂钓网站，使用微信垂钓等方式进行传布。这些网站通�；嵋苑⑵薄⒌ゾ荨⒈ㄋ啊⑺拔袢砑让逵盏际芎φ呦略夭⒅葱卸褚馊砑�。

3、假装正常软件

银狐木马还会假装成常用软件，如WPS、MS Office、PDF、微信、钉钉等数十款软件，通过在主流搜索引擎上采办流量进行垂钓传布，这是目前传布量最大的一种传布方式。

样本分析

从官网下载的装置包lest-test.3.1.2.msi，被绑缚了银狐WinOS 4.0远控后门，官网链接：https://letpvpn.com。分析如下：

MSI文件，即Microsoft Installer的装置包，专为Windows系统设计，用于装置、卸载、建复及更新软件。作为文件体式，它不由用户直接执行，而是由系统的MS Installer服务（运行于SYSTEM账户）处置。这一机造不仅赋予操作治理员权限，还可能触及SYSTEM最高权限，实现高效安全的软件治理。

1、通过Orca工具，查看lest-test.3.1.2.msi装置包文件。

图片1.png

2、通过装置包配置详情显著能够看出：装置包里的文件“__4”被装置保留为文件名“1”，“xQJnSaS.exe”被保留为文件名“XPsdjAV.exe”。

3、运行lest-test.3.1.2.msi装置包之后，装置开释的文件。

图片2.png

4、与Orca工具查看的详情齐全对应的上，其钟装xQGEJun.exe”是真正的letsvpn装置包，用来蛊惑受害者。

技术道理

“XPsdjAV.exe”“libcurl.dll”和“1”是以白加黑大局运行的WinOS 4.0远控。其中，“XPsdjAV.exe”自身是白文件，且罕见字署名。“libcurl.dll”是被篡改的恶意文件。“libcurl.dll”被“XPsdjAV.exe”加载执行后，读取文件“1”，解密出WinOS 4.0的远控主题代码。

图片3.png

这是一种典型的"白加黑"攻击模式。在这种模式下，很多终端杀毒软件会默认信赖那些带有有效数字署名的法式，以为它们是安全的。然而，攻击者可能会利用这种机造来实现所谓的"免杀"成效。

具体来说，攻击者可能会使用一个带罕见字署名且未被篡改的合法法式（例如"XPsdjAV.exe"），来糊弄杀毒软件。而后，他们可能会批改该法式所依赖并挪用的DLL文件（例如"libcurl.dll"），使得恶意的DLL文件被加载并执行。此表，攻击者将主题的远控代码（例如WinOS 4.0）以加密大局保留在文件"1"中，这使得杀毒软件难以检测到其存在。

GA黄金甲解决规划

1、高级威胁检测规定

银狐木马攻击手法虽多变，但均有�？裳�，只有有攻击就会有痕迹。TAR内置精准“狩狐”有关检测规定，安全钻研团队缜密跟踪最新攻击伎俩，确保检测规定精准监测。

2、高级沙箱检出能力

设备内置多沙箱环境，涵盖window、Linux等环境，选取静态、缝隙、行为分析，内置反沙箱检测机造，对反沙箱、反检测等行为进行躲避，全面监测样本运行过程，深刻发现银狐木马的威胁作为。

3、加密流量模型分析

设备嵌入AI算法模型，涵盖ICMP、DNS、HTTP、HTTPS、Webshell隧路模型，以“机械进建、统推算法、威胁谍报、深度包检测”为技术底座，构建“盛行为分析、域名分析、证书分析、包特点分析、握手信息分析”的多模型综合决策系统。

4、天阗AI智能体赋能

天阗AI智能体以“智检测，慧守护”为理想，凭据分歧检测场景智能化调度各类检测工具和算法，利用LLM推理总结能力对检测了局“深加工”，大幅度提高检测精准度和整体检测机能，援手安全人员更好地相识攻击事务的性质、起源和潜在影响。

天阗威胁分析一体机（TAR）通过天阗AI智能体赋能的高级威胁检测、恶意文件检测、加密流量检测等技术伎俩全面监测银狐木马，深刻洞察潜在威胁，有效预防风险扩散，为客户网络筑起安全防线。

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】