HTTPS隧道里的银狐:一次DoH隐蔽通信木马的全链路分析
概述
近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,该木马将自身包装为雷电模拟器安装包,以篡改的 INNO Setup 程序作为初始投递载体,通过白加黑 DLL 劫持逐层解密释放银狐木马本体。该变种最显著的特征是采用了DNS-over-HTTPS(DoH)隐蔽通信——将 C2 域名 oidng2.duoshit.com 的解析请求封装在 HTTPS 中发往阿里 DNS(223.5.5.5)和 Google DNS(8.8.8.8)的 DoH 端点,使恶意流量与正常公共 DNS 访问完全无法区分,从而绕过企业 DNS 监控和防火墙策略。银狐本体还具备 VMProtect 虚拟化保护、键盘记录、凭据窃取、进程注入、屏幕截图、权限提升及多重持久化等完整的后门远控能力。