概述
银狐木马,又名毒鼠、谷堕、游蛇,是近年来国内非常流行的一个远控木马。主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为
银狐木马在2024年仍保持着高度活跃且不断尝试使用新的技术来躲避安全软件检测甚至是直接攻击安全软件,如利用PoolParty技术注入恶意代码至系统进程以及利用包含漏洞的正常驱动结束安全软件进程。瑞星在近段时间的威胁狩猎中意外获得了多个银狐木马的服务端程序,虽然捕获到的服务端版本相对较老,但也能让我们从另一个角度来了解银狐木马。本文除了大致介绍服务端之外,还会对近期的在野样本进行较为深入的分析
服务端探索
攻击团伙内部对银狐木马的称呼
银狐木马是一个高度插件化的远控木马,而我们通过获取服务端上携带的相关插件的PDB信息得知,它在攻击团伙内部的称呼应该为WinOs
另外使用相关关键词在Telegram上搜索时也能得到佐证
服务端功能概览
上图为银狐木马服务端运行时的界面,我们捕获的绝大部分服务端的界面均和上图非常相似
上方的一排按钮展示了该远控木马的基本功能
而下方的选项卡则可以在服务端的一些功能上进行切换
客户生成选项卡用来生成受控端程序,可以看到这个版本里允许配置最多3个服务端地址,可以生成PowerShell代码以及受控端程序的多种形态(EXE、DLL和ShellCode),此外还支持对受控端程序进行一些简易的保护(如使用UPX加壳,对文件进行加密和转换),另外值得留意的是备注信息里默认填写的是当前日期
生成的受控端程序的配置信息以反序的形式存储在数据节的尾部
部分版本生成的受控端程序自带环境检测功能:
- 检查磁盘是否存在文件夹
C:\Program Files\VMware\VMware Tools\或者查询注册表键值来确定自身是否运行在虚拟机中,如在虚拟机中则一直休眠不进行任何动作
- 枚举窗口,判断窗口标题是否带有特定字符串以此来躲避网络、流量分析工具的检查
相对较新但夹带私货的服务端版本
我们还捕获到了受控端配置信息存储方式与上图版本不一样的服务端版本,这款服务端显然要更新一些,界面上增加了侧边栏,多出了一些功能
客户端生成弹出了单独的窗口,整体功能基本不变,但与服务端通信时增加了通信密码
这款服务端生成的受控端的配置信息同样以反序的形式存储在数据节的尾部,但结构略有差异。而且这款服务端生成的受控端实际上夹带私货,除了会尝试连接使用者填入的服务端地址之外,还会尝试连接iamasbcx.asuscomm.com
使用相关域名在VirusTotal上搜索也能发现不少异常样本,似乎部分攻击者在使用服务端时并未意识到这一点
服务端主插件一览
服务端内置的插件以资源形式保存在服务端程序内,且区分32位和64位版本。大部分时候一个插件对应着一个远控木马的功能,执行相关功能时将会推送相关插件至受控端,而且部分插件的DLL名称本身就暴露了其功能。我们目前收集到的服务端主插件如下:
| 主插件DLL名称 | 功能 |
|---|---|
| 播放监听.dll | 监控受控端扬声器使用情况 |
| 查注册表.dll | 对受控端的注册表进行管理 |
| 差异屏幕.dll | 该版本服务端监视受控端屏幕的五种方式中的一种 |
| 代理映射.dll | 配置受控端的系统代理 |
| 服务管理.dll | 管理受控端上的系统服务 |
| 高速屏幕.dll | 该版本服务端监视受控端屏幕的五种方式中的一种 |
| 后台屏幕.dll | 该版本服务端监视受控端屏幕的五种方式中的一种 |
| 急速搜索.dll | 对应服务端的全盘搜索功能 |
| 键盘记录.dll | 记录受控端的键盘击键 |
| 解密数据.dll | 实际功能为获取受控端上常见浏览器保存的账号密码以及Cookies信息 |
| 前台窗口.dll | 该版本服务端监视受控端屏幕的五种方式中的一种 |
| 上线模块.dll | 服务端构建受控端时将以该模块为基础进行构建 |
| 视频查看.dll | 查看受控端的摄像头 |
| 文件管理.dll | 管理受控端上的文件 |
| 系统管理.dll | 包含多个小功能,如进程列表、窗口枚举、HOSTS表查看等 |
| 语音监听.dll | 监控受控端麦克风使用情况 |
| 远程交谈.dll | 允许服务端和受控端进行简单的文字聊天 |
| 远程终端.dll | 返回一个受控端的命令行,可以执行各种指令 |
| 指令集合.dll | 对应服务端上的多个功能,包括客户管理(该功能下的子功能可以直接对受控端进行远程控制)、电源管理、插件管理 |
| 注入管理.dll | 可将任意程序注入进受控端系统正在运行的进程 |
| 娱乐屏幕.dll | 该版本服务端监视受控端屏幕的五种方式中的一种 |
| 压力测试.dll | 即控制受控端对特定站点发动DDoS攻击 |
| 驱动插件.dll | 释放驱动并加载,用于隐藏自身进程、文件、注册表项 |
一些收集到的自定义插件
除了主插件之外,该远控还支持加载自定义插件以实现其他功能,这些插件可以放在服务端运行时生成的OtherPlugins目录,我们目前收集到了以下的插件:
| 自定义插件DLL名称 | 功能 |
|---|---|
| Kill杀毒.dll | 利用开源项目RealBlindingEDR影响安全软件正常工作 |
| 查看微信聊天记录工具.dll | 联网下载其他文件运行实现微信聊天记录查看 |
| 企鹅解密.dll | 注入QQ进程获取QQKey等信息 |
| 添加重启上线.dll | 释放自带驱动并加载 |
| 一键提权.dll | 联网下载其他文件运行实现提权 |
近期在野样本分析
由上面的内容可知,服务端仅负责生成最终的恶意载荷的多种形态(EXE、DLL和ShellCode),而银狐木马的在野样本基本均被攻击者进行二次包装,同时整合多种技术用于规避安全软件检测(或者直接攻击安全软件)并加载最终的恶意载荷
案例1:利用PoolParty技术注入系统进程执行恶意代码
初始样本
基本信息
| 字段 | 内容 |
|---|---|
| 原始文件名 | R2-Signed.exe |
| 文件大小 | 22.21 MB (23289008 bytes) |
| 文件MD5 | a7471e097d4d4e84fa44a025603499e1 |
| 文件类型 | EXE |
| 病毒名 | Trojan.ShellCodeLoader/x64!1.10732 |
| 主要功能 | 动态加载执行shellcode |
处理ShellCode
恶意程序先处理自身内嵌的ShellCode,经过编码、拼接处理后的恶意代码共分为三段:代码段、恶意程序段和数据段。每段的前四个字节是该段的数据长度。其中代码段负责执行后面的恶意程序,数据段包括C2地址、计划任务名称、文件路径和文件名等字符串。
ShellCode数据内容如下图。
执行中间加载器
将ShellCode中的DLL文件异或解码并经过手动修复的方式在内存中加载,然后执行DLL的导出函数run,参数为上一个步骤拼接的ShellCode数据。
中间加载器
基本信息
| 字段 | 内容 |
|---|---|
| 文件大小 | 1.12 MB (1178112 bytes) |
| 文件MD5 | 89dc8df1ace5d385c07f437c03431d33 |
| 文件类型 | DLL |
| 病毒名 | Trojan.ShellCodeLoader/x64!1.10732 |
| 主要功能 | 加载执行银狐木马 |
主函数
中间加载器导出函数run根据运行环境执行不同分支,首先判断当前进程是否为svchost.exe,如果不是则进一步判断当前用户权限,非管理员权限则需要进行提权而管理员权限则直接利用PoolParty技术注入到系统进程中执行恶意代码。
绕过UAC机制提升进程权限
当前执行进程不是svchost.exe且是普通权限时,病毒利用RPC服务和Parent PID spoofing技术实现系统UAC绕过以获得更高级权限。
- 为接口
201ef99a-7fa0-444c-9399-19ba84f12a1a创建字符串绑定句柄并返回,然后为绑定句柄设置所需的身份验证、授权和安全服务质量信息。
- 初始化一个
RPC_ASYNC_STATE以进行异步调用,并通过NdrAsyncClientCall创建一个新的non-elevated进程(使用winver.exe作为non-elevated进程)。
- 使用
NtQueryInformationProcess打开调试对象的句柄,并将所创建进程的句柄传递给它。然后使用NtRemoveProcessDebug将调试器与进程分离,并使用TerminateProcess终止此创建的进程。
- 重复步骤1和步骤2,创建新的
elevate进程taskmgr.exe。 - 通过检索
taskmgr.exe进程句柄的初始调试事件,获得对它的完全访问权限。首先,它使用WaitForDebugEvent等待调试对象以获取初始进程创建调试事件,然后使用NtDuplicateObject获取完全访问进程句柄。
- 在获得
taskmgr.exe的完全特权句柄后,恶意程序使用该句柄以高特权进程身份执行自身。
使用PoolParty技术注入ShellCode至系统进程
当前进程不是svchost.exe且当前用户为管理员权限时,病毒使用PoolParty技术将ShellCode注入到系统进程中执行,此处选择系统服务Scheduler执行的svchost.exe作为目标进程。
PoolParty技术作为一项较新的进程注入技术,通过攻击Windows线程池实现进程注入,在网上已有相关的开源代码。
- 获取目标进程句柄,其返回值为0x13C,后续注入目标进程时需要使用该句柄。
- 生成ALPC端口名,端口名称为
\RPC Control\ + 根据系统时间随机生成的字符串。
- 首先使用函数
NtAlpcCreatePort创建临时ALPC端口,然后将临时端口句柄传递给函数TpAllocAlpcCompletion。该函数可以创建名为TP_ALPC的结构体,后续需要注入到目标进程的恶意代码使用该结构体进行传递。
- 使用函数
NtAlpcCreatePort创建用于进程注入的ALPC端口,端口名为步骤2拼接的字符串。
- 使用函数
VirtualAllocEx在目标进程中分配TP_ALPC所需的内存,然后使用函数WriteProcessMemory将步骤4创建的TP_ALPC结构体写入目标进程中,分三次写入恶意代码:分别是入口函数段、代码段和完整的ShellCode。
- 使用函数
NtAlpcSetInformation将步骤5生成的ALPC端口与目标进程的工作线程工厂的IO完成端口相关关联,然后使用函数NtAlpcConnectPort向目标进程发起ALPC连接由此触发恶意代码执行。
svchost.exe内执行的ShellCode
经过本地提权和进程注入,加载器代码最终在系统进程svchost.exe内执行。相关代码主要负责在内存中加载运行银狐木马本体,除此之外还要完成本地持久化工作。
- 本地释放文件,包括白文件、黑文件和编码后的银狐木马本体。
- 创建计划任务实现持久化。
- 创建线程执行银狐木马本体。
银狐木马本体
基本信息
| 字段 | 内容 |
|---|---|
| 文件大小 | 528 KB (540,672 字节) |
| 文件MD5 | 33a9619d2dce9cd7298a78dd21293775 |
| 文件类型 | DLL |
| 病毒名 | Backdoor.SilverFox!1.1072F |
| 主要功能 | 后门 |
最终加载执行的银狐木马本体主要作为后门使用,通过连接攻击者服务器实现对受害者主机的全面控制,包括读取计算机信息、进程注入、文件管理、屏幕查看、远程Shell、下载执行、键盘监听、关闭计算机、内网socket代理、回复心跳包等功能。
初始化阶段
病毒执行后首先复制并解密恶意shellcode到内存中,同时复制ntdll到内存以绕过安全软件在应用层对ntdll的挂钩,同时修改防火墙出入站规则。
当前进程判断
银狐木马的上线模块会对当前进程进行判断,不同的进程会执行不同的操作:
svchost.exe:注入其他系统进程完成不同操作、安装系统服务或计划任务实现持久化、连接服务器完成后门功能taskmgr.exe:修改内存可执行属性perfmon.exe:结束当前进程以关闭Windows系统性能监视程序
连接C2服务器
病毒根据配置信息使用不同的方式与服务器建立连接。
案例2:利用包含漏洞的正常驱动结束安全软件进程
初始样本
基本信息
| 字段 | 内容 |
|---|---|
| 原始文件名 | SSRClient.exe |
| 文件大小 | 5.44 MB (5707631 bytes) |
| 文件MD5 | 2FAB10855EFC0DC62A255FF1E6EC8FA6 |
| 文件类型 | EXE |
| 备注 | 程序是Inno Setup 6.3.0构建的安装包 |
行为分析
- 安装包会在路径
C:\Program Files (x86)\Windows NT\下释放文件updat4.vac,file.bin和trash。 - 调用
powershell.exe,执行命令Add-MpPreference -ExclusionPath 'C:\'将C盘目录添加到Windows Defender扫描排除列表中。
- 调用
updat4.vac(实质为一个DLL文件)的导出函数Install。
加载器:updat4.vac
基本信息
| 字段 | 内容 |
|---|---|
| 原始文件名 | updat4.vac |
| 文件大小 | 3.43 MB (3598848 bytes) |
| 文件MD5 | 1D1464C73252978A58AC925ECE57F0FB |
| 文件类型 | DLL |
| 备注 | 程序疑似使用VMProtect保护 |
行为分析
程序运行时会先判断C:\cs是否存在。接着通过调用GetTokenInformation获取TOKEN_ELEVATION(0x14)结构来判断确认当前进程权限是否提升,若没有,则调用ShellExecuteA附带参数runas来重新执行自身以获取管理员权限。
updat4.vac主要执行以下操作:模块释放,环境检测与安全软件对抗,驱动安装,注册表修改,加载最终payload(银狐木马),调试器、虚拟机和沙箱检测,部署Nidhogg(仅限Windows 10和Windows 11)隐藏自身组件以及创建计划任务实现持久化
模块释放
程序会将众多文件释放至C:\Program Files (x86)\Windows NT目录,这些文件的来源如下:
| 文件名 | 大小 | 功能 | 来源 |
|---|---|---|---|
| hrsw.vbc | 3.43MB | 加载器的一份拷贝 | updat4.vac自我复制改名 |
| 7zr.exe | 811KB | 7z命令行程序 | 从updat4.vac的.data节中释放 |
| res.dat | 244KB | 资源压缩包 | file.bin解码操作后得到的加密7z包 |
| locale.bin | 55.2KB | 编码后的数据文件 | 创建7zr.exe进程附带命令行x -y res.dat -pad8dtyw9eyfd9aslyd9iald后得到 |
| locale2.bin | 55.2KB | 编码后的数据文件 | 创建7zr.exe进程附带命令行x -y res.dat -pad8dtyw9eyfd9aslyd9iald后得到 |
| locale3.bin | 31.1KB | 编码后的数据文件 | 创建7zr.exe进程附带命令行x -y res.dat -pad8dtyw9eyfd9aslyd9iald后得到 |
| locale4.bin | 73.2KB | 编码后的数据文件 | 创建7zr.exe进程附带命令行x -y res.dat -pad8dtyw9eyfd9aslyd9iald后得到 |
| locale7.bin | 29.0KB | 编码后的数据文件 | 创建7zr.exe进程附带命令行x -y res.dat -pad8dtyw9eyfd9aslyd9iald后得到 |
| locale.dat | 55.2KB | 解码后的加密资源压缩包 | locale.bin解码后得到的加密7z包 |
| locale2.dat | 55.2KB | 解码后的加密资源压缩包 | locale2.bin解码后得到的加密7z包 |
| locale3.dat | 31.1KB | 解码后的加密资源压缩包 | locale3.bin解码后得到的加密7z包 |
| locale4.dat | 73.2KB | 解码后的加密资源压缩包 | locale4.bin解码后得到的加密7z包 |
| locale7.dat | 29.0KB | 解码后的加密资源压缩包 | locale7.bin解码后得到的加密7z包 |
| winnt.exe | 130KB | 最终payload(银狐木马) | 创建cmd.exe进程附带命令行/q /c 7zr.exe x -y -bd locale.dat -pfhliafyaiofyaif > NUL 2>&1后得到 |
| runtime.exe | 130KB | 最终payload(银狐木马) | 创建cmd.exe进程附带命令行/q /c 7zr.exe x -y -bd locale2.dat -pfhliafyaiofyaif > NUL 2>&1后得到 |
| tProtect.dll | 62.1KB | 带Microsoft Windows Hardware Compatibility Publisher签名的64位驱动程序,Windows 10/Windows 11环境使用 |
创建7zr.exe进程附带命令行x -y locale3.dat -pasfasdf79yf9layslofs后得到 |
| tProtect.dll | 59.0KB | 带PC Tools签名的64位驱动程序,Windows 7环境使用 |
创建7zr.exe进程附带命令行x -y locale7.dat -pasfasdf79yf9layslofs后得到 |
| hotdog.exe | 115KB | Nidhogg客户端程序 |
创建cmd.exe进程附带命令行/c 7zr.exe x -y locale4.dat -pdo8cdasdtoda813y7e21ec后得到 |
| curl.dll | 99.5KB | Nidhogg的64位驱动 |
创建cmd.exe进程附带命令行/c 7zr.exe x -y locale4.dat -pdo8cdasdtoda813y7e21ec后得到 |
| task.xml | 4KB | 计划任务配置文件 | 从代码中解码后输出到文件 |
环境检测与安全软件对抗
- 检测电脑是否安装了360或者火绒:若当前进程中存在
ZhuDongFangYu.exe、360Tray.exe,则表示已经安装了360安全软件;若当前进程中存在HipsTray.exe则表示已经安装了火绒安全软件 - 检测Windows 11系统:若存在文件:
C:\Windows\Web\Wallpaper\Windows\img19.jpg或C:\Windows\System32\Taskbar.dll,且系统版本号不为6.1则判定为Windows 11系统
- 检测Windows 10系统:若存在文件
C:\Program Files\Windows Defender\MsMpEng.exe且系统版本号不为6.1则判定为Windows 10系统
- 检测Windows 7系统:判断
GetVersionExW获取的系统版本号是否为6.1若是,则判定为Windows 7系统
- 检测安全软件:创建线程并枚举当前进程名,通过检测进程名内是否包含特定字符串来检测安全软件
"bka" "blu" "sechealthui" "wsctrl" "360"
"zhudongfangyu" "security" "smartscreen" "msmpeng" "hips"
"kav" "cis" "cavwp" "2345" "qqpc"
"ksafe" "kwatch" "wdswfsafe" "mssecess" "mpcmdrun"
"kxecenter" "kislive" "kxetray" "kxemain" "kxewsc"
"kscan" "kxescore" "remotectrlaid" "xdict" "calc.exe"
"superki" "dsmain" "qhactive" "watchdog" "mfeavsv"
"mcshield" "mcapexe" "defender" "mfemms" "usysdiag"
"lenovo" "lavservice" "lnvsvcfdn" "avira" "hrsword"
"softmgr" "dbg" "52pojie" "avp" "kis"
"sentryeye" "kl_" "eset" "boothelper" "efwd"
"egui" "ekrn" "eguiproxy" "elastic" "agentbeat"
"apm-server.exe" "fleet-server" "ravmond.exe" "rsmain" "rstray"
"rsmgrsvc" "pchunter" "hacker" "monitor" "wireshark"
"regedit" "wisevector" "norton" "nscsvc" "ccsvchst"
"navapsvc" "ns.exe" "edr-agent" "dwengine" "frwl_svc"
"dwantispam" "dwarkdaemon" "dwcloudhost" "dwservice" "netfilter"
"dwwatcher" "dwscanner" "spideragent" "wsc-service" "qaxprotect"
"qaxdoctor" "trantoragent" "avast" "afwserv" "aswengsrv"
"aswidsagent" "aswtoolssvc" "icarus" "wsc_proxy" "ccsvchst"
"sepwscsvc" "sepliveupdate" "smcgui" "symcorpui" "ecmd.exe"
"ecls.exe" "ecapture.exe" "adminflows" "a2guard" "a2service"
"a2start" "commservice" "eppwsc" "sentinelagent" "sentinelui"
"agentui" 命中了上述字符串的进程,加载器会通过DeviceIoControl函数向安装好的服务管道名为\\.\TfSysMon的驱动发送特定IoCode(0xB4A00404)和对应进程pid,结束该进程。不过在命中字段360之后,还有一个排除列表,命中排除列表的字段则不进行杀进程操作。排除字段:360chrome,360zip,360se。
安装包含漏洞的TfSysMon驱动
TfSysMon是ThreatFire的系统监控驱动,由于该驱动未对操作发起者进行严格校验,导致任意程序可向该驱动发送特定指令结束指定进程
加载器会打开管道\\.\pipe\ntsvcs,该管道使用RPC协议进行交互,创建一个临时服务,服务名格式为MagiskQvmSvc_%s,该服务用于创建CleverSoar服务,该临时服务只执行一次,执行的命令行为:cmd /c start sc create CleverSoar displayname= CleverSoar binPath= "C:\Program Files (x86)\Windows NT\tProtect.dll" type= kernel start= auto。tProtect.dll就是服务对应的带漏洞的驱动,该服务管道名为\\.\TfSysMon。
服务创建好之后,再创建一个临时服务,服务名格式为MagiskQvmSvc_%s,用于启动该服务,所执行的命令行为:cmd /c start sc start CleverSoar。
注册表修改
加载器会创建注册表键HKCU\SOFTWARE\Magisk,并在该键下搜索值ring3_username。若搜不到,则从explorer.exe的进程结构中获取当前用户名并将其写入该键值。
加载最终payload(银狐木马)
检测目录中是否存在winnt.exe文件,若不存在则则释放该文件,最后创建进程执行命令行cmd.exe /q /c SCHTASKS /Create /F /TN "\PayloadTask1" /RU "SUPER" /RL HIGHEST /SC ONCE /ST 00:00 /TR "\"C:\\Program Files (x86)\\Windows NT\\winnt.exe\"" & SCHTASKS /Run /TN "\PayloadTask1" & schtasks /Delete /TN "\PayloadTask1" /F运行一次payload之后删除该计划任务。
接着检测运行目录中是否存在runtime.exe文件,若不存在则释放该文件,最后创建进程执行命令行cmd.exe /q /c SCHTASKS /Create /F /TN "\PayloadTask2" /RU "SUPER" /RL HIGHEST /SC ONCE /ST 00:00 /TR "\"C:\\Program Files (x86)\\Windows NT\\runtime.exe\"" & SCHTASKS /Run /TN "\PayloadTask2" & schtasks /Delete /TN "\PayloadTask2 /F运行一次payload之后删除该计划任务。
调试器、虚拟机和沙箱检测
- 利用
CheckRemoteDebuggerPresent和IsDebuggerPresent检测当前环境是否处于调试状态。
- 利用
ZwSetInformationThread禁止当前线程产生调试信息。
- 利用
GetTickCount64函数,调用两次,判断两次返回值的是否满足条件来判处是否处于调试状态。
- 检查当前用户名判断当前样本是否运行在沙箱或者虚拟机之中。
检查的用户名有:
"Sandbox" "Emily" "HAPUBWS" "Hone Lee" "IT-ADMIN"
"Johnaon" "Miller" "miloza" "Peter Wilson" "timmy"
"sand box" "malware" "maltest" "test user" "John Doe"
"9ZaXj" "vbccsb_*" "vbccsb" "abby" - 调用函数
GetSystemFirmwareTable获取原始SMBIOS固件表,判断其中的项是否存在字段(pc-1440fx,QEMU,IBM)来判断系统是否处于虚拟环境。
部署Nidhogg隐藏自身组件
Nidhogg是一个开源的Rootkit,提供包括隐藏进程在内的多种功能
若当前系统是Windows 10或Windows 11,则开始部署流程
- 通过
OpenServiceA尝试打开Nidhogg服务,若失败则释放文件curl.dll和hotdog.exe - 通过执行命令行
sc create Nidhogg displayname= Nidhogg binPath= "C:\Program Files (x86)\Windows NT\curl.dll type= kernel start= auto创建服务 - 通过执行命令行
sc start Nidhogg启动服务。
确认服务启动之后,执行如下命令行来隐藏自身进程和文件,同时屏蔽系统的事件日志功能:
cmd.exe /q /c start /B hotdog.exe process add 2580
cmd.exe /q /c start /B hotdog.exe thread add 352
cmd.exe /q /c start /B hotdog.exe thread add 928
cmd.exe /q /c start /B hotdog.exe driver hide "C:\Program Files (x86)\Windows NT\curl.dll"
cmd.exe /q /c start /B hotdog.exe driver hide "C:\Program Files (x86)\Windows NT\tProtect.dll"
hotdog.exe etwti disable创建计划任务实现持久化
确认文件C:\Program Files (x86)\Windows NT\task.xml存在后,执行命令行schtasks /create /tn "kafanbbs" /xml "C:\Program Files (x86)\Windows NT\task.xml"创建名为kafanbbs的计划任务。
其他行为
降低UAC安全等级
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t REG_DWORD /d 5 /f
关闭Windows防火墙
netsh advfirewall set allprofiles state off
netsh firewall set opmode mode=disable profile=ALL
停止并禁用Windows自动更新服务
net stop wuauserv
sc config wuauserv start= disabled
修改HVCIDisallowedImages键值阻止火绒重启后加载驱动
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI" /v "HVCIDisallowedImages" /t REG_MULTI_SZ /d "sysdiag.sys" /f
关闭Windows Defender的“内存完整性”功能
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
关闭Windows虚拟机监控程序保护的代码完整性审计模式
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI" /v "HvciAuditMode" /t REG_DWORD /d 0 /f总结
银狐木马作为近几年国内最流行的远控木马,一直积极地进行技术更新。攻击组织除了向受害者的设备投放恶意程序之外,还积极地利用社保、缴税等关键词构建钓鱼网站诱骗用户提交个人隐私信息。
瑞星建议用户提升安全意识,避免运行邮件内的不明附件或者是即时通讯软件的群内的不明文件,同时避免点击一些来源不明的链接和扫描来源不明的二维码。