东森平台

首页 > 关于东森平台 > 新闻动态 > 深度解读

揭露“银狐”真容，让威胁无处遁形

宣布时间 2024-08-08

编者按：

近期，东森平台北斗宁静运营中心通过天阗威胁分析一体机（TAR）监测到一起 “(毒鼠)连接C2服务器”告警事件，第一时间与产物线进行溯源取证分析，确认源头是某员工安装了LetsVPN。经金睛团队分析判定，该LetsVPN安装包被捆绑了银狐的WinOS 4.0远控后门。本文将详细揭露这一事件的始末，剖析其中的宁静漏洞与风险，为企业网络宁静防护提供警示与借鉴。

何为“银狐”？

银狐木马是一类针对特定目标群体进行钓鱼攻击的恶意软件，其主要攻击工具包罗企事业单元的管理人员、财政人员、销售人员、金融从业人员以及电商卖家等。这类木马通过多种手段进行流传，对受害者的计算机系统进行控制和窃取隐私数据，进而为后续的诈骗活动提供便利。

“银狐”流传方式

银狐木马主要通过以下几种方式进行流传：

1、即时通讯工具（IM）钓鱼

攻击者通过QQ、微信等即时通讯工具发送钓鱼文件或网站链接，诱导受害者点击并进行流传。这些文件或链接通�；嵛弊俺删哂杏盏夹缘拿�，如“结果单”“转账通知单”等。

2、钓鱼网站

攻击者会伪造税务机关、金融机构等官方网站的钓鱼网站，使用微信钓鱼等方式进行流传。这些网站通�；嵋苑⑵薄⑵本荨⒈ㄋ啊⑺拔袢砑让逵盏际芎φ呦略夭⒅葱卸褚馊砑�。

3、伪装正常软件

银狐木马还会伪装成常用软件，如WPS、MS Office、PDF、微信、钉钉等数十款软件，通过在主流搜索引擎上购置流量进行钓鱼流传，这是目前流传量最大的一种流传方式。

样天职析

从官网下载的安装包lest-test.3.1.2.msi，被捆绑了银狐WinOS 4.0远控后门，官网链接：https://letpvpn.com。分析如下：

MSI文件，即Microsoft Installer的安装包，专为Windows系统设计，用于安装、卸载、修复及更新软件。作为文件格式，它不由用户直接执行，而是由系统的MS Installer服务（运行于SYSTEM账户）处置。这一机制不仅赋予操作管理员权限，还可能触及SYSTEM最高权限，实现高效宁静的软件管理。

1、通过Orca工具，检察lest-test.3.1.2.msi安装包文件。

图片1.png

2、通过安装包配置详情明显可以看出：安装包里的文件“__4”被安装生存为文件名“1”，“xQJnSaS.exe”被生存为文件名“XPsdjAV.exe”。

3、运行lest-test.3.1.2.msi安装包之后，安装释放的文件。

图片2.png

4、与Orca工具检察的详情完全对应的上，其中“xQGEJun.exe”是真正的letsvpn安装包，用来迷惑受害者。

技术原理

“XPsdjAV.exe”“libcurl.dll”和“1”是以白加黑形式运行的WinOS 4.0远控。其中，“XPsdjAV.exe”自己是白文件，且有数字签名。“libcurl.dll”是被改动的恶意文件。“libcurl.dll”被“XPsdjAV.exe”加载执行后，读取文件“1”，解密出WinOS 4.0的远控核心代码。

图片3.png

这是一种典型的"白加黑"攻击模式。在这种模式下，许多终端杀毒软件会默认信任那些带有有效数字签名的法式，认为它们是宁静的。然而，攻击者可能会利用这种机制来实现所谓的"免杀"效果。

具体来说，攻击者可能会使用一个带有数字签名且未被改动的合法法式（例如"XPsdjAV.exe"），来欺骗杀毒软件。然后，他们可能会修改该法式所依赖并调用的DLL文件（例如"libcurl.dll"），使得恶意的DLL文件被加载并执行。此外，攻击者将核心的远控代码（例如WinOS 4.0）以加密形式生存在文件"1"中，这使得杀毒软件难以检测到其存在。

东森平台解决方案

1、高级威胁检测规则

银狐木马攻击手法虽多变，但均有�？裳�，只要有攻击就会有痕迹。TAR内置精准“狩狐”相关检测规则，宁静研究团队紧密跟踪最新攻击手段，确保检测规则精准监测。

2、高级沙箱检出能力

设备内置多沙箱环境，涵盖window、Linux等环境，接纳静态、漏洞、行为分析，内置反沙箱检测机制，对反沙箱、反检测等行为进行规避，全面监测样本运行过程，深入发现银狐木马的威胁行动。

3、加密流量模型分析

设备嵌入AI算法模型，涵盖ICMP、DNS、HTTP、HTTPS、Webshell隧道模型，以“机器学习、统计算法、威胁情报、深度包检测”为技术底座，构建“流行为分析、域名分析、证书分析、包特征分析、握手信息分析”的多模型综合决策体系。

4、天阗AI智能体赋能

天阗AI智能体以“智检测，慧守护”为理念，依据差异检测场景智能化调治种种检测工具和算法，利用LLM推理总结能力对检测结果“深加工”，大幅度提高检测精准度和整体检测性能，资助宁静人员更好地了解攻击事件的本质、来源和潜在影响。

天阗威胁分析一体机（TAR）通过天阗AI智能体赋能的高级威胁检测、恶意文件检测、加密流量检测等技术手段全面监测银狐木马，深入洞察潜在威胁，有效制止风险扩散，为客户网络筑起宁静防线。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号