银狐九月:变种月增400+,免杀对抗花式翻新
内容提要
微步情报局报告显示,8-9月间,银狐木马通过IM软件传播,诱饵为“违纪人员名单”,捕获400余个样本。该木马利用PoolParty技术对抗检测,恶意代码注入系统进程。钓鱼网站变得更加精巧,用户下载后会多次跳转,最终下载带有后门的程序。微步平台已支持对这些样本的检测。
关键要点
-
微步情报局报告显示,8-9月间,银狐木马通过IM软件传播,诱饵为“违纪人员名单”,捕获400余个样本。
-
银狐木马利用PoolParty技术对抗检测,恶意代码注入系统进程。
-
钓鱼网站变得更加精巧,用户下载后会多次跳转,最终下载带有后门的程序。
-
后门不会在运行安装程序时直接启动,而是在安装完成后创建的桌面快捷方式中植入启动命令。
-
微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对上述样本的精确检测。
-
银狐木马以“违纪人员名单”为主题,在微信、企业微信、钉钉、飞书等IM软件传播。
-
样本格式为zip或pe格式,文件名携带“违纪人员”等关键字。
-
钓鱼网站通过快速模板建站,使用动态请求下载文件的方式快速更换下载文件。
-
黑猫团伙构造的钓鱼页面相当突出,肉眼无法分辨真假。
-
攻击者将银狐木马上传至政府网站,点击下载后会跳转至政府网站下载链接。
-
PoolParty是一种利用Windows用户模式线程池的进程注入技术,可对抗EDR对进程注入的检测。
-
后续迭代更新的样本会使用伪造的数字签名来绕过一些EDR软件。
延伸解读
银狐木马的传播方式
银狐木马通过IM软件传播,利用“违纪人员名单”作为诱饵,吸引用户下载。用户需警惕此类钓鱼手法,特别是在微信、钉钉等常用软件中,避免随意点击不明链接或下载文件。
对抗检测的技术手段
银狐木马采用PoolParty技术进行恶意代码注入,能够有效对抗EDR检测。这一技术的复杂性使得传统的安全防护措施面临挑战,企业应加强对新型攻击手法的学习与防范。
钓鱼网站的伪装手法
钓鱼网站通过多次跳转和动态请求下载文件的方式,提升了仿真度,用户在不知情的情况下可能下载到恶意软件。建议用户在下载软件时,仔细检查网站的真实性,避免上当受骗。
延伸问答
银狐木马是如何传播的?
银狐木马通过IM软件传播,诱饵为“违纪人员名单”,在微信、企业微信、钉钉、飞书等平台上广泛传播。
银狐木马使用了什么技术来对抗检测?
银狐木马利用PoolParty技术对抗EDR进程注入的检测,将恶意代码注入到系统进程中。
钓鱼网站是如何设计的以诱骗用户的?
钓鱼网站通过快速模板建站,使用动态请求下载文件的方式,经过多次跳转后下载带有后门的程序,页面设计高度仿真。
银狐木马的后门是如何激活的?
后门不会在安装程序运行时直接启动,而是在安装完成后创建的桌面快捷方式中植入启动命令,点击图标时触发后门。
微步情报局如何检测银狐木马样本?
微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对银狐木马样本的精确检测。
银狐木马的样本格式是什么?
银狐木马的样本格式主要为zip或pe格式,文件名通常携带“违纪人员”等关键字。
