-
关闭安全软件:释放包含漏洞的Ping32、百度杀毒等安全软件驱动,触发漏洞后强行关闭失陷终端上的特定安全软件进程。 -
致盲行为检测:读写内核数据,定位并修改安全软件内核回调函数的地址,使安全软件在未被关闭的情况下,也无法采集与检测进程、线程、文件、注册表的行为。 -
指定进程隐身:通过InfinityHook技术实现RootKit,隐藏指定的恶意进程,即使找到这个进程也很难通过常规手段关闭。 -
屏蔽网络反连:劫持系统网络驱动,在底层过滤和篡改网络连接信息,使安全软件无法正确获取失陷终端与C2服务器之间的恶意反连。
此外,11月13日下午,我们将举办一场闭门直播,深度复盘2025年全年攻防演练,期间会详细聊聊大模型专项见闻、供应链安全那点事儿、AI在攻防中的作用,报名可点击→这可能是最早的2025【全年】攻防演练复盘。
样本投递
这些钓鱼域名使用了随机字母的二级域名
以及廉价的TLD顶级域名后缀
这种方式降低了域名使用的成本,方便该黑产团伙注册大量的钓鱼网站和及时切换钓鱼域名资产。
样本分析
这批样本通过对其样本释放的银狐木马内存中配置字段的解析
根据该配置文件格式中bz字段(银狐木马生成器的生成时间)可以看到最早一批样本是从2025年6月15日编译。
这批样本最初形式通常为含有无效签名的Inno Setup安装包
以下对样本进行详细分析。
样本安装后按照Inno Setup的脚本文件释放众多文件。先在
这些释放的文件功能为
后续在
C:\Users\Public\Documents\WindowsData下释放、解压后续利用程序
这些程序文件中部分重要文件功能为
-
BdApiUtil64.sys
在这批样本中,黑产团伙使用KGseKKdKce.exe程序来利用该驱动程序,该程序基于开源项目
https://github.com/BlackSnufkin/BYOVD/blob/main/BdApiUtil-Killer/src/main.rs的魔改。
样本先通过遍历所有的进程是否包含硬编码的程序,这些程序名都是一些杀毒软件和EDR的进程名
-
rwdriver.sys
这个驱动的使用程序main.exe,为开源项目
https://github.com/NanoWraith/BlindEdr的二次开发,该项目主要是用于针对一些杀软和EDR,利用内置字节码特征匹配,定位各类内核回调函数的实际地址,并将这些实际地址填充回原本的位置,实现在不终止安全软件进程的前提下,屏蔽其对进程、线程、文件、注册表等行为的监控能力。
值得注意的是,该开源项目25年1月上传到GitHub平台,黑产团伙6月份使用该项目加入到银狐木马的loader功能中,中间仅差5个月时间,展现出该黑产团伙极强的研究落地能力。
-
Cndom6.sys
Cndom6.sys含有北京天水技术开发有限公司的过期数字签名
该sys程序主要功能是通过InfinityHook技术,在进入系统调用分派逻辑的路径下设下拦截点(在KiSystemCall64执行期间或其分派前后插入跳转),从而可以拦截特定的系统调用。这种技术避开了Windows对内核的防护技术PatchGuard,不通过修改SSDT表来HOOK API。
该sys程序HOOK了五个API,包括
该sys程序可以通过对这五个API函数的HOOK来实现Rootkit技术,隐藏指定的进程,对抗检测。
XiaoH.sys
XiaoH.sys含有上海启思教育科技服务有限公司的过期数字签名
该驱动的主要功能是获取nsiproxy.sys的驱动对象并劫持其IRP回调函数指针,从而拦截并篡改网络连接枚举流程。nsiproxy.sys在Windows中与Network Store Interface服务交互,为用户态提供网络连接状态、TCP/UDP 连接表等网络状态信息。
用户态的一些网络查询行为,实际上是通过向nsiproxy.sys发送IOCTL控制码,由其转发至内核中网络底层API函数,读取网络连接状态。而该驱动则是通过定位nsiproxy.sys驱动对象,获取函数指针进行HOOK,当其它程序枚举网络连接时,拦截处理并返回一个被修改的结构,实现“隐藏通讯”的目的。
这样在调用此回调函数时,会判断是否为受保护进程,如果为受保护进程,则伪造一个虚假的结构体,隐藏网络连接行为。
最终由NtHandleCallback.exe程序加载解密银狐的远控模块Server.log,反连C2。
推荐阅读
