HTTPS隧道里的银狐:一次DoH隐蔽通信木马的全链路分析

概述

  近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,该木马将自身包装为雷电模拟器安装包,以篡改的 INNO Setup 程序作为初始投递载体,通过白加黑 DLL 劫持逐层解密释放银狐木马本体。该变种最显著的特征是采用了DNS-over-HTTPS(DoH)隐蔽通信——将 C2 域名 oidng2.duoshit.com 的解析请求封装在 HTTPS 中发往阿里 DNS(223.5.5.5)和 Google DNS(8.8.8.8)的 DoH 端点,使恶意流量与正常公共 DNS 访问完全无法区分,从而绕过企业 DNS 监控和防火墙策略。银狐本体还具备 VMProtect 虚拟化保护、键盘记录、凭据窃取、进程注入、屏幕截图、权限提升及多重持久化等完整的后门远控能力。

隐匿的“文函”——银狐新变种样本分析报告

概述

  近期,瑞星安全团队接到用户反馈,样本经分析为一个采用Rust语言开发的银狐木马。该样本是一款多层链式部署的远控木马程序,伪装成名为文函.exe的普通文档程序,以降低用户警惕性。样本内置完善的环境检测逻辑,能够自动规避虚拟机、调试器及主流安全软件环境;成功落地后,通过添加Windows Defender扫描排除项实现查杀绕过,并依托系统合法进程backgroundTaskHost.exe完成无文件进程注入,实现持久化驻留。其C2服务地址为gawdkl.fit,支持包括主机信息采集、屏幕截图、键鼠模拟、文件传输、注册表篡改、服务创建、摄像头/音频捕获等在内的完整远控功能,可窃取聊天软件记录、剪贴板内容、系统配置等敏感数据。

多层嵌套下的隐蔽袭击:银狐木马LuaJIT变种攻击链分析

概述

  近期,瑞星通过自动化沙盒捕获到一个银狐家族的最新变种样本。该变种关联的攻击活动目标明确,攻击链高度复杂且极具迷惑性,其在沿用银狐家族传统手法——多层安装包嵌套(NSIS+Inno Setup)、内存反射加载、隐蔽进程注入及DLL侧加载(白加黑)——的基础上,新增了Lua脚本作为中间攻击组件以投递RAT载荷,并利用TypeLib劫持实现持久化驻留。

环境感知与按需投递:银狐木马下载器分析报告

概述

  近期瑞星接到用户反馈的疑似银狐木马样本,经过分析确认,该样本是一个伪装成票务工具,是一个具备环境感知按需投递能力的下载器,最终将下载易语言编写的模块化的银狐木马并执行。样本采用多阶段投递的方式,逐层按需落地恶意载荷。Payload执行后,并非立即窃取数据,而是优先完成对目标主机的深度环境画像,采集多种目标主机的内容,基于采集结果,恶意程序会动态评估目标价值,针对具备特定条件的机器,差异化下发特定恶意模块,实现按需精准操作的同时,大大的减少非任务代码暴露,增加分析难度。