銀狐木馬又雙叒叕“進化” ，遠控、勒索“混合雙打”發(fā)動攻擊

2025-12-11 19:46:34
我要分享


微信掃碼分享

近期，我們在處置用戶求助過程中，發(fā)現(xiàn)了一類新的銀狐木馬攻擊方式。這個銀狐木馬的變種不僅能夠遠程控制受害者的電腦，還會進一步投放 LockBit 5.0 勒索軟件，對電腦中的文件進行加密，給受害者造成雙重打擊。

攻擊劇本

圖1. 混合攻擊入侵劇本

此次攻擊以一種常見的電詐式社工手法開局。受害者首先接到一個自稱“工商局”的電話，聲稱有人舉報其公司網(wǎng)站存在不當內容，并要求受害者主動聯(lián)系“投訴人”協(xié)商，否則將面臨處罰。在對方的誘導下，受害者添加了所謂“投訴人”的聯(lián)系方式。

隨后，攻擊者以“投訴人”的身份向受害者發(fā)送一封“撤銷舉報”的郵件。郵件內容經(jīng)過精心偽裝，誘導受害者點擊鏈接或下載附件。最終受害者按照要求打開郵件中的惡意文件，銀狐木馬在系統(tǒng)中悄悄落地。更危險的是，銀狐木馬隨后又繼續(xù)下載并執(zhí)行了 LockBit 5.0 勒索軟件，加密電腦中的重要數(shù)據(jù)并索要贖金，給受害者造成巨大損失。

圖2. 受害者收到的釣魚郵件

木馬分析

誘餌投遞

攻擊者通過郵件釣魚攻擊，欺騙用戶關閉360終端安全產品，之后又運行了附件中的木馬程序。附件中的壓縮包解壓后，會出現(xiàn)一個可執(zhí)行文件（exe 木馬）以及一個偽裝成“撤銷說明”的 doc 文檔。

圖3. 釣魚郵件中的附件內容

部署過程

而這個exe就是攻擊者精心偽裝的木馬安裝程序，它表面上看起來像是正規(guī)文件，實際上是用 Inno 安裝程序打包的木馬。木馬的整個部署與工作過程如下，下面我們對其攻擊細節(jié)進行分析。

圖4. 木馬執(zhí)行邏輯流程示意圖

釋放白加黑木馬加載器

木馬安裝程序一旦運行，首先會釋放一組白加黑木馬加載程序。

反編譯后可以看到，木馬在安裝時會調用一個名為 a2guard.exe 的“白程序”（本身是合法軟件）。該程序帶有 Emsisoft Limited 的數(shù)字簽名（Emsisoft 是來自奧地利的知名殺毒軟件廠商）。攻擊者強行以參數(shù) “-k unistackgroup” 啟動它，使用該參數(shù)執(zhí)行，程序會去加載sciter.dll，這里即為被木馬利用的dll。

圖5. 被木馬篡改利用的白程序配置文件

加載圖片中隱藏的木馬

木馬DLL加載后，便開始了ShellCode的解碼與加載。攻擊者使用的是一張PNG圖片，但這張圖片并不普通——里面暗藏著木馬的核心代碼。與傳統(tǒng)偽裝方式不同，攻擊者沒有簡單粗暴地把惡意程序改個后綴名偽裝成PNG文件，而是更隱蔽地使用了LSB隱寫技術。

圖6. 隱藏木馬代碼的圖片

關于LSB隱寫

簡單來說，就是把惡意代碼藏在圖片“像素的最末位數(shù)據(jù)”里。

這種方式不會破壞圖片的外觀，受害者打開圖片時能正常看到，但實際已經(jīng)悄悄把惡意代碼藏進圖像數(shù)據(jù)中。木馬DLL會按像素順序讀取R、G、B的最低位（每像素產出3個bit），把這些bit以MSB-first的順序組裝成字節(jié)；前 4 個字節(jié)作為 little-endian 的長度字段（payload 大?。?，合理性檢查（非 0 且 <= 0x6400000）；然后按長度讀取 payload 字節(jié)到緩沖區(qū)，最后使用一個長度為0x20的key進行異或解密。

在這個計算過程中，異或的Key長度為0x20。

圖7. 長度為0x20的KEY數(shù)據(jù)

安全分析人員根據(jù)其邏輯解密出了最終的ShellCode數(shù)據(jù)：

圖8. 解密出的最終ShellCode數(shù)據(jù)

解密后得到的是一個段ShellCode，里邊包含PE可執(zhí)行文件。進一步分析顯示，這其實是一個經(jīng)過混淆的.NET 程序：對其去混淆后發(fā)現(xiàn)，程序在資源區(qū)先被3DES加密封裝，解密后是用gzip壓縮的另一個.NET程序。按該程序的解密流程逐層還原后，得到的仍是一段高度混淆的.NET代碼——這是典型的加載器/釋放器（Loader/Dropper），內部包含多層解密與解壓邏輯，用來掩蓋真正的載荷（通常是惡意DLL或EXE）。繼續(xù)對這些層級逐一解密和解壓，最終還原出一個遠程控制程序（RAT）。這一連串多層加密與混淆手法說明攻擊者刻意將惡意代碼隱藏起來，以逃避安全檢測并延緩分析與響應。

圖9. 內存解密代碼

解壓得到的文件經(jīng)過了嚴重混淆。通過特征比對可以確認，它與近期常見的“銀狐”類遠控木馬高度相似。這表明攻擊者使用的是銀狐木馬的“泛化版本”——也就是說，這類木馬已被多個黑灰產攻擊團伙購買并重復利用，成為一種被廣泛流通的網(wǎng)絡攻擊工具。

通過木馬程序的一些關鍵字可以發(fā)現(xiàn)，該遠控木馬具有常規(guī)遠控的功能，例如鍵盤記錄、遠程連接等功能。

圖10. 遠控功能列表

除了常用功能外，還另外增加了劫持錢包地址的功能。

圖11. 錢包地址劫持功能

投放勒索軟件

木馬在控制受害者設備一段時間后，又向受害者計算機投送了勒索軟件。

圖12. 投放勒索軟件

其中Chuongdong64.exe是LockBit 5.0勒索軟件木馬。

LockBit被認為是目前全球最活躍、最知名的“勒索軟件即服務”（RaaS）運營組織之一，自2019年出現(xiàn)以來持續(xù)迭代更新。最新變種LockBit 5.0（又名ChuongDoung Locker v1.01），名稱帶有明顯挑釁意味——因為LockBit 4.0曾被安全研究員ChuongDoung深度分析，導致其技術細節(jié)曝光。

從樣本對比來看，LockBit 5.0并非完全重新編寫，而是在LockBit 4.0的基礎上“升級改造”而來。兩者在字符串哈希算法、API解析模塊、服務掃描邏輯等關鍵組件上完全一致，動態(tài)API解析的代碼結構也高度相似。這些特征明確表明，LockBit 5.0大量復用了LockBit 4.0的代碼庫。

LockBit 5.0支持使用命令行參數(shù)來執(zhí)行不同的加密功能，參數(shù)如下：

表1. LockBit 5.0參數(shù)列表?

加密算法

LockBit 5.0使用XChaCha20作為文件加密算法，XChaCha20是一種流密碼（Stream Cipher），它是ChaCha20加密算法的變體。主要特點是引入了擴展的隨機數(shù)（Extended Nonce），從而極大地提高了在大規(guī)模數(shù)據(jù)加密或長時間會話中的安全性，解決了隨機數(shù)碰撞（Nonce Reuse）的風險，新的變種使用隨機16個字符的擴展名：