恶意文件名称:
深信服XDR与“银狐”的刀光剑影
威胁类型:
后门、木马
简单描述:
“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。此外,该家族也经常使用高仿微信号进行诈骗。
恶意文件描述
近日,深信服深盾实验室联合XDR在日常运营中发现一起针对用户的钓鱼事件,深入分析是最近流行的银狐家族
受害者通过浏览器从恶意网站下载伪装的银狐木马,伪装的名字包括但不限于“向日葵远程”,“百度网盘破解版”,“钉钉”等知名软件,恶意软件被下载到本地之后后缀名通常为exe、zip、rar当解压或直接运行时会要求以管理员权限运行,并可能引导关闭杀毒软件(关闭杀软是非常危险的行为,任何时候都不建议用户关闭),病毒运行之后会在用户主机留下后门并持续监控主机,等到时机成熟攻击者将会通过微信等程序实施金融诈骗。
恶意文件分析
病毒执行流程分析
此次样本修改了程序正常的入口点,在WinMain函数之前的执行了恶意代码:
病毒运行之后检测是否存在360tray进程,之后联网下载后缀为xml,jpg,dat,exe的多个文件至%PUBLIC%目录和C:\ProgramData目录中,再通过傀儡进程技术运行释放出来的exe文件。
傀儡进程运行之后首先从dat文件中解压出四张图片和一个dat文件,之后创建多个计划任务执行%PUBLIC%和%ProgramData%目录下的文件
同时创建注册表HKEY_CURRENT_USER\SOFTWARE\Sauron和HKEY_USERS\S-1-5-21-{[\d\-]+}\SOFTWARE\Sauron猜测是用于记录病毒运行的时间。
之后进入回连阶段接收C2(47.76.169.139:7000)服务器指令。
IOC
47.76.169.139:7000
http://47.76.169.139:7800/qq-4
http://47.76.169.139:7800/1
http://47.76.169.139:7800/2
http://47.76.169.139:7800/3
http://47.76.169.139:7800/4
5E85063FC706DA14C2B45A6C54DB9DCB:向日葵远程.exe
E4E3C98C784A15DE6F4F39283D2677D8:B6Utc.dat
A687DEDC4A864C3F68590C12BA54D42D:B6Utc.exe
EC24C69F707E2ABD84969520AF93905A:edge.jpg
E85E5FA4C7F5C11775D0AECAF7FFD709:edge.xml
A1B8D7C3D05936631F53D85A9740B202:NVMVBOq.dat
BDC665D84C49568A79784BBCED257181:NVMVBOq.exe
F7C9B21751FD411E5E94838F561B3DEB:5Q2w.dat
FC1C707C27AE30E5933C82B1B2521511:5Q2w.exe
CD162B3289C6AE29F3DCF754C6DBA9C5:95w6a.dat
A33A8FA67C8ED579AEDE23CA3D1701E4:95w6a.exe
293747B51BB69BC0FA7D13009A75CB21:B5y.dat
8C3C32132389D551B67AA29A9E6F377D:B5y.exe
BBBD40F177542B39321D0A59F4DC222B:edge.jpg
81B1300499A11A2057BBD803FBE9EE04:edge.xml
F96EB5C994253609C94E8DCCB1C9C851:Mtwm9a.dat
03E9BD04DEE800115AB863027F82C8AB:Mtwm9a.exe
解决方案
处置建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
1. 终结病毒本体及其子进程。
2. 删除文件本体和C:\Users\Public\{随机字符串}\下的edge.jpg、edge.xml、*.dat、*.exe;删除C:\ProgramData{随机字符串}\下的所有文件。
3. 删除%TEMP%目录下的_ir_tu2_temp开头的目录及里面的文件,删除%TEMP%目录下的Xshell 6 Update Log.txt;删除文件C:\xxxx.ini
4. 删除注册表HKEY_CURRENT_USER\SOFTWARE\Sauron和下面的键值,删除注册表\HKEY_USERS\S-1-5-21-{[\d\-]+}\SOFTWARE\Sauron和下面的键值
5. 删除任务计划程序中指向%PUBLIC%和%ProgramData%目录下程序的任务计划。
深信服解决方案
【深信服可扩展检测响应平台XDR】已支持检测该新型木马的恶意行为,请更新软件(如有定制请先咨询售后再更新版本)和IOA规则库、IOC规则库至最新版本,设置相应的检测策略,获取全方位的高级威胁检测能力;
【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件。aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本。
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
如有侵权请联系:admin#unsafe.sh