银狐木马的商业危害
银狐的三大“杀手锏”:
1.会伪装:假装成“国家财政补贴通知”“放假安排”“违规通报”等看似正常的办公文件,通过微信、钉钉、邮件发送,一看就像真的,员工一点就中招。
2.能隐身:不生成独立进程,而是“寄生”在浏览器、rundll32等正常程序里运行,杀毒软件扫不到,任务管理器看不到。
|
1 |
事件梗概
近期,天守EDR在多个客户环境中成功检出多起银狐木马活动。攻击链始于伪造的WPS下载站点,结合搜索引擎SEO推广实现广泛传播,诱导用户下载携带恶意载荷的MSI安装程序。
威胁事件告警
该攻击活动呈现出变种众多、免杀技术频繁更新、传播范围广、波及行业多等特点,展现出较强的隐蔽性和持续性。
银狐木马常见的传播路径有以下三种:
钓鱼邮件:伪装成“正常文件”诱骗终端用户打开,一点即失守,木马就悄悄安装了。
IM及时通讯:滥用“信任”诱骗点击。通过微信/飞书/钉钉/QQ等IM通讯软件发送带毒文件,甚至操控已中毒账号向好友传播。
虚假软件:借“正规软件”之名混入。依附在一些常用软件里,比如办公工具、下载器,利用“白加黑”等手法绕过安全检查。近期数据显示,该传播方式是上述三种常见传播途径中传播量最大、影响最广的一种。
此次发现的银狐攻击就属于第三种,通过对进程链的分析,还原了该银狐木马样本的执行过程:
进程链
当用户运行下载的“WPS安装包”时,系统会通过 msiexec.exe 进程加载伪装安装文件(WPS_Office_Installer.msi)。它一边显示正常的安装界面,让用户以为一切正常,一边偷偷通过 cmd.exe 调用 wscript.exe,运行隐藏其中的恶意脚本,实现防御规避与持久化驻留,即绕过安全软件,设置开机自启动,实现长期潜伏。最终,木马释放并运行 internet.exe 进程,主动连接C2服务器,建立远程控制通道。
|
2 |
银狐三联问
为什么银狐总是频繁变种?
银狐木马频繁变种,本质上是一种“逃避检测”的策略。通过修改代码特征,使已有的病毒库失效,让基于特征的传统杀毒软件无法识别,实现免杀,从而绕过防御。
为什么传统安全产品难以发现银狐?
1.利用白加黑注入在正常程序加载恶意DLL,使其在合法进程中隐身执行,任务管理器中不留痕迹。
2.银狐木马将恶意代码直接运行在内存中,不写入硬盘,不生成文件,传统杀毒软件无法扫描和发现,隐蔽性强,难以察觉。
3.不断变换C2服务器的IP地址,防止被封禁,确保即使某一通道被阻断,也能通过新IP地址重新建立连接,维持持久控制。
为什么EDR可以有效防御银狐木马?
EDR基于行为分析,不依赖病毒库,即使木马频繁变种、文件特征(如Hash)不断变化,也能通过异常行为精准检出。
病毒可以“整容”,但干坏事的“习惯”改不了。EDR不看相貌,只盯行为。
|
3 |
样本分析
本次捕获的银狐木马样本,通过伪造WPS官网诱导用户下载恶意MSI安装包,利用合法进程调用链、无文件脚本执行、权限绕过、计划任务持久化等多种技术手段,构建了一条高度隐蔽的攻击路径。
1、伪装安装
用户访问银狐木马伪造的下载网站后,天守EDR立即发出告警并对文件进行记录。当检测到该主机尝试与恶意C2服务器建立通信时,EDR自动触发主机隔离策略,将该终端从网络中隔离,成功阻断了其与C2服务器的通信,有效遏制了威胁扩散。
该恶意文件采用捆绑手法,将恶意载荷植入某UP主制作的WPS安装向导程序中,并伪装成官方网站,诱导用户下载。
当用户解压并运行 WPS_Office_Installer.msi 时,安装包会释放多种格式的恶意脚本(如BAT、VBS、PS1),用于执行后续的持久化驻留、防御绕过和远程控制等攻击行为。
MicrosoftUpdata 的文件夹,刻意伪装成系统更新目录,并向其中释放多个恶意脚本文件。随后,利用MSI安装包的自定义操作机制,调用该目录下的 run.bat 批处理文件,执行后续攻击行为,包括加载恶意程序、绕过安全防御以及建立持久化驻留。攻击者利用WPS安装过程中会触发UAC(用户账户控制)的特性,将恶意操作隐藏在用户授权过程中。在执行run.bat脚本本后,释放的internet.exe进程试图关闭管理员账户,以降低权限绕过检测或实现其他隐蔽操作。
后台cmd运行内容
internet.exe试图关闭用户账户控制
2、防御规避(免杀)
run.bat 脚本通过调用 cmd.exe 执行命令,构建了一条隐蔽的进程调用链:msiexec.exe 启动 run.bat 后,脚本通过 start /min 命令开启一个最小化窗口的命令提示符进程,使恶意操作在后台运行,用户难以察觉;同时,还使用 start /b 命令启动程序,不创建新窗口,完全静默执行,进一步增强隐蔽性。
run.bat文件内容
run.bat 脚本启动了 internet.exe、k.bat 和 wps.exe 三个文件。其中,恶意文件
internet.exe 加载了 RexRat 远控木马的登录模块,并通过调用 PowerShell 命令,将相关路径添加至 Windows Defender (用于防御规避)的扫描排除项中,实现免杀,逃避安全软件的检测。
威胁事件告警详情
Windows Defender排除项
第三步 权限维持
k.bat 通过调用 wscript.exe 执行同目录下的 k.vbs 脚本。k.vbs 则利用 UAC 机制,通过 RunAs 提权方式启动 PowerShell.exe 执行 k.ps1 脚本。
其中:
RunAs是常见的 UAC 绕过方法,依赖用户点击“是”完成提权; -ExecutionPolicy Bypass用于绕过系统对未签名脚本的执行限制; -WindowStyle Hidden隐藏 PowerShell 窗口,实现后台静默运行,用户无感知。
k.ps1 脚本首先检测 k.xml 文件是否存在,随后基于其内容创建计划任务。
该 XML 文件定义了一个名为 MicrosoftEdgeUpdateChecker 的任务,用于实现持久化驻留,定时执行以下路径的恶意程序:C:\ProgramData\MicrosoftUpdata\update\Windowsdate.exe
注:银狐木马特征之一,将恶意文件释放在C:\ProgramData目录下。
文件调用路径
Windowsdate.exe创建计划任务
Windowsdate.exe调用powershell修改defender排除项
攻击者通过 run.bat、k.vbs、k.ps1 等多层脚本协同操作,结合 start /min、start /b、-WindowStyle Hidden 等窗口隐藏技术,实现恶意进程的静默运行;并通过 PowerShell 修改 Windows Defender 排除项、创建伪装成系统任务的计划任务(MicrosoftEdgeUpdateChecker),完成防御规避与长期驻留。最终释放的 Windowsdate.exe 文件加载 RexRat 远控模块,可被攻击者用于远程操控、窃取敏感信息,具备典型的 APT 攻击特征。
此银狐样本整个攻击流程设计缜密、伪装性强,传统杀毒软件依赖特征识别,常常难以发现。而EDR通过监控进程调用、脚本运行、提权操作和持久化行为,能够看清攻击全过程,更有效地发现并处置隐蔽威胁。
|
4 |
扩展IoC
通过该IP关联到如下样本Hash
SHA1:c1a94362128b0ee23bb9edd7dc555ffc5e00e549SHA1:2fcc745a2aec50a514e08b9e39aacd61fb27c4c1SHA1:9d31a1fcd200602a348eae8806fac7cb6262c8a7wps-platform.com
请务必通过 WPS 官方网站或其他可信渠道下载开发工具,切勿轻信搜索引擎结果或第三方软件站的“高速下载”链接。
如需安装软件,请仔细核对下载链接和文件签名。
|
5 |
结语
当攻击已经从“暴力破门”变成“伪装潜入”,不能再依赖只会“认脸”的老式杀毒软件。真正的安全,不是等中招才察觉,而是在动作发生时就及时发现。面对银狐这类高度隐蔽的威胁,看行为、追链路、识异常,才是更有效的防御思路。部署EDR,不仅是为了应对已知威胁,更是为了应对不断演进的高级攻击,缩小攻防之间的能力差距。
试用天守EDR
扫码申请试用
