銀狐木馬再升級(jí)_巧妙利用.NET特性GAC劫持系統(tǒng)

2025-08-29 11:29:08
我要分享


微信掃碼分享

近期，銀狐木馬更新頻繁并不斷變換攻擊技術(shù)。其使用文件拼接、AutoHotkey模擬點(diǎn)擊、ISO釣魚等各類技術(shù)手段實(shí)施破壞，對(duì)政企單位造成了重大威脅。下面，以近期活躍的一類使用GAC特性進(jìn)行程序劫持的銀狐木馬變種為例，對(duì)該家族木馬的最新攻擊技術(shù)進(jìn)行解析。?

傳播

銀狐木馬的該變種通常采用“Setup-xxxx.exe”的命名方式，將木馬主體偽裝為各類安裝程序進(jìn)行傳播，誘騙用戶點(diǎn)擊執(zhí)行。

圖1. 該銀狐木馬變種的典型釣魚頁(yè)面

木馬分析

初始加載

用戶下載到本地名為“Setup-xxxx.exe”的安裝包，本質(zhì)上是一個(gè)木馬加載器（Loader）。用戶誤啟動(dòng)該程序后，加載器會(huì)進(jìn)一步下載木馬安裝程序“js19.dbd”。下載地址為：

hxxps://jiaoshou.bj.bcebos.com/js19.dbd

圖2. 加載器對(duì)木馬安裝程序下載地址字符串進(jìn)行拼接?

被下載的這個(gè)安裝程序是一個(gè)動(dòng)態(tài)鏈接庫(kù)（DLL）文件。下載成功后，加載器程序會(huì)加載該DLL并執(zhí)行其run函數(shù)。作者將該木馬存儲(chǔ)于百度智能云對(duì)象存儲(chǔ)（BOS）中，不少安全軟件的網(wǎng)絡(luò)防護(hù)會(huì)因?yàn)?/span>“白名單機(jī)制”而對(duì)該地址直接放行。

檢測(cè)安全軟件

木馬啟動(dòng)后會(huì)循環(huán)檢測(cè)360Tray.exe、360Safe.exe、ZhuDongFangYu等360其他相關(guān)程序以及火絨的HRUpdate.exe，如果檢測(cè)到這些程序，木馬會(huì)嘗試通過驅(qū)動(dòng)終止相關(guān)安全軟件程序。

圖3. 木馬通過掃描內(nèi)存查找360相關(guān)進(jìn)程?

使用GAC發(fā)起劫持

進(jìn)入到實(shí)質(zhì)性的功能階段，木馬會(huì)創(chuàng)建以下目錄，并將其設(shè)置為只讀、隱藏屬性。

C:\Program Files\SetupInfo565661

之后，木馬會(huì)進(jìn)一步從遠(yuǎn)程地址下載DLL功能組件，然后動(dòng)態(tài)加載DLL組件，并將惡意DLL安裝至全局程序集緩存，以實(shí)現(xiàn)多程序共享與持久化駐留。

全局程序集緩存（即Global Assembly Cache，縮寫為GAC）是Windows系統(tǒng)中.NET Framework提供的一個(gè)特殊目錄，用來存放經(jīng)過強(qiáng)名稱簽名（Strong Name）的.NET程序集。它的作用是讓多個(gè)應(yīng)用程序能夠共享同一個(gè)程序集，而不需要每個(gè)程序都單獨(dú)復(fù)制一份。這樣，既可以節(jié)省磁盤空間又能確保不同應(yīng)用使用的是同一個(gè)版本的程序組件，避免出現(xiàn)版本沖突問題。但木馬利用.NET的這一特性后，則可以實(shí)現(xiàn)對(duì)指定.NET程序的隨意劫持。

木馬利用該手段完成對(duì)System.Collections.Modle.dll的劫持操作后，會(huì)修改注冊(cè)表以接管.NET應(yīng)用程序域管理行為，進(jìn)而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的全局影響。

圖4. 木馬通過GAC劫持System.Collections.Modle.dll?

篡改配置與輔助文件下載

完成劫持操作后，木馬會(huì)再次下載加密文件109.mdb到本地，重命名為adp.xml，并下載dfsvc.exe到本地，重命名為uninstall_xxxxx.exe（xxxxx為隨機(jī)字符串）。

圖5. 木馬下載輔助文件到本地?

木馬接著修改注冊(cè)表，將對(duì)應(yīng)值修改為0，以允許未標(biāo)記安全的ActiveX控件初始化和腳本執(zhí)行。注冊(cè)表路徑為：

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201

利用系統(tǒng)功能執(zhí)行

此后，木馬會(huì)生成temp_1756284537.html和temp_1756284616.mmc兩個(gè)臨時(shí)文件。其中，temp_1756284537.html文件的內(nèi)容，會(huì)利用之前關(guān)閉的ActiveX控件安全限制啟動(dòng)木馬程序。

圖6. temp_1756284537.html文件內(nèi)容?

之后的木馬功能環(huán)環(huán)相扣：先利用MMC20.Application.1 COM組件，執(zhí)行另一個(gè)臨時(shí)文件temp_1756284616.mmc，進(jìn)而觸發(fā)HTML文件運(yùn)行。而在啟動(dòng)此前創(chuàng)建的正常.NET程序uninstall_1awRtVHM.exe后，該程序會(huì)被自動(dòng)加載已被劫持的System.Collections.Modle.dll模塊組件。

圖7. 木馬利用系統(tǒng)功能執(zhí)行后續(xù)組件?

長(zhǎng)期駐留與注入遠(yuǎn)控

正常程序uninstall_1awRtVHM.exe被執(zhí)行后，在木馬已經(jīng)布置好的環(huán)境中，會(huì)加載被劫持的System.Collections.Modle.dll，進(jìn)而變成木馬的傀儡進(jìn)程，傀儡進(jìn)程會(huì)首先通過計(jì)劃任務(wù)實(shí)現(xiàn)長(zhǎng)期駐留。在計(jì)劃任務(wù)啟動(dòng)后，木馬安裝程序通過MMC20 COM組件，執(zhí)行mmc文件來引爆整個(gè)木馬執(zhí)行鏈。

圖8. 木馬通過計(jì)劃任務(wù)實(shí)現(xiàn)長(zhǎng)期駐留

實(shí)現(xiàn)長(zhǎng)期駐留后，木馬會(huì)讀取adp.xml內(nèi)容，將其加載到內(nèi)存中執(zhí)行，并注入到系統(tǒng)的桌面進(jìn)程（explorer.exe）中。

圖9. 木馬注入到桌面進(jìn)程中?

已經(jīng)注入成功的惡意代碼會(huì)連接遠(yuǎn)程地址，IP于端口為：

129.226.60.109:8081

圖10. 木馬鏈接遠(yuǎn)程地址

通過分析，我們發(fā)現(xiàn)注入內(nèi)存執(zhí)行的是遠(yuǎn)控木馬。該遠(yuǎn)控木馬可以實(shí)現(xiàn)遠(yuǎn)程執(zhí)行文件、修改注冊(cè)表、獲取用戶機(jī)器信息等常規(guī)遠(yuǎn)控功能，此外，還會(huì)查詢用戶機(jī)器是否有向日葵遠(yuǎn)程工具，如有，會(huì)獲取向日葵的機(jī)器碼和密碼。

圖11. 木馬查找“向日葵”遠(yuǎn)控工具并獲取其控制信息

攔截防護(hù)

360安全大腦可攔截并查殺此類木馬，已安裝有360終端安全產(chǎn)品的用戶不必太過擔(dān)心。

圖12. 360安全安全大腦攔截木馬?

安全建議

l強(qiáng)化終端防護(hù)
在企業(yè)內(nèi)部設(shè)備中部署安全軟件，開啟實(shí)時(shí)監(jiān)控與自動(dòng)更新，若安全軟件異常退出，應(yīng)立即斷網(wǎng)查殺。

l嚴(yán)控文件風(fēng)險(xiǎn)
對(duì)不明壓縮包及可執(zhí)行文件，堅(jiān)持不解壓、不運(yùn)行、不輕信。有條件的情況下，應(yīng)將可疑文件上傳至可信的安全分析平臺(tái)進(jìn)行檢測(cè)和上報(bào)。

l警惕釣魚信息
收到含“財(cái)稅”“自查”及此次傳播中出現(xiàn)的“防范木馬”等敏感關(guān)鍵詞的通知文件，務(wù)必通過官網(wǎng)、官方APP或電話等方式進(jìn)行二次核實(shí)，勿直接點(diǎn)擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應(yīng)從官網(wǎng)或企業(yè)內(nèi)部平臺(tái)獲取，并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后，要先經(jīng)安全軟件掃描。

l及時(shí)應(yīng)急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號(hào)異地登錄等風(fēng)險(xiǎn)征兆，應(yīng)盡快使用360等安全產(chǎn)品進(jìn)行全面掃描，必要時(shí)重裝系統(tǒng)。

l行業(yè)重點(diǎn)防護(hù)
如財(cái)稅或涉密等重點(diǎn)、敏感崗位，在業(yè)務(wù)高峰期執(zhí)行文件應(yīng)雙人復(fù)核，避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應(yīng)通過EDR、EPP等安全系統(tǒng)，對(duì)惡意軟件的運(yùn)行及通信進(jìn)行全方位告警和攔截

熱點(diǎn)排行

銀狐木馬再升級(jí)_巧妙利用.NET特性GAC劫持系統(tǒng)

傳播

木馬分析

攔截防護(hù)

安全建議

熱點(diǎn)排行

關(guān)注我們