安全分析与研究

专注于全球恶意软件的分析与研究

原文首发出处：

https://xz.aliyun.com/t/14440

先知社区 作者：熊猫正正

去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级，近期一些朋友通过微信发给笔者几个使用“银狐”黑客工具的黑产团伙的最攻击样本让笔者看看，笔者针对这些攻击样本的前期加载过程进行了详细分析，分享给大家。

2.脱壳之后，从黑客服务器上下载恶意文件到指定目录，然后执行，如下所示：

3.查看黑客服务器上的文件，如下所示：

4.下载的恶意样本也采用UPX加壳，如下所示：

5.调用VirtualAlloc分配相应的内存空间，如下所示：

6.在内存中解密出恶意模块，如下所示：

7.解密出来的恶意模块导出函数，如下所示：

8.通过分析解密出来的恶意模块为Gh0st修改版，如下所示：

2.样本的编译时间为2024年4月，如下所示：

3.YourPhone.exe会判断同目录下是否存在mainframe.dll模块，如果存在，则加载同目录下的mainframe.dll模块，如下所示：

4.mainframe.dll模块读取同目录下的hpock.png文件内容到内存，如下所示：

5.在内存中解密hpock.png文件内容，如下所示：

6.解密之后的shellcode代码，如下所示：

7.跳转执行解密出来的shellcode代码，如下所示：

8.shellcode代码解压缩包含的payload代码，如下所示：

9.解压缩后的payload，如下所示：

10.payload导出函数，如下所示：

2.从程序中解析出来的AutoIt脚本，如下所示：

3.在指定目录下生成一个白程序和一个恶意模块，如下所示：

4.采用白+黑的攻击技术，启动webprocess.exe程序加载恶意模块libcef.dll，如下所示：

5.样本的编译时间为2024年4月，如下所示：

6.解密程序中硬编码数据，如下所示：

7.解密过程，如下所示：

8.解密之后的payload，如下所示：

9.分配内存空间，如下所示：

10.将解密的payload拷贝到该内存空间当中，如下所示：

11.跳转执行payload模块的入口代码，如下所示：

12.执行payload模块导出函数JeffcEn，如下所示：

13.远程c2服务器IP为156.237.223.130，如下所示：