银狐九月:变种月增400+,免杀对抗花式翻新
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
微步情报局报告显示,8-9月间,银狐木马通过IM软件传播,诱饵为“违纪人员名单”,捕获400余个样本。该木马利用PoolParty技术对抗检测,恶意代码注入系统进程。钓鱼网站变得更加精巧,用户下载后会多次跳转,最终下载带有后门的程序。微步平台已支持对这些样本的检测。
🎯
关键要点
- 微步情报局报告显示,8-9月间,银狐木马通过IM软件传播,诱饵为“违纪人员名单”,捕获400余个样本。
- 银狐木马利用PoolParty技术对抗检测,恶意代码注入系统进程。
- 钓鱼网站变得更加精巧,用户下载后会多次跳转,最终下载带有后门的程序。
- 后门不会在运行安装程序时直接启动,而是在安装完成后创建的桌面快捷方式中植入启动命令。
- 微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对上述样本的精确检测。
- 银狐木马以“违纪人员名单”为主题,在微信、企业微信、钉钉、飞书等IM软件传播。
- 样本格式为zip或pe格式,文件名携带“违纪人员”等关键字。
- 钓鱼网站通过快速模板建站,使用动态请求下载文件的方式快速更换下载文件。
- 黑猫团伙构造的钓鱼页面相当突出,肉眼无法分辨真假。
- 攻击者将银狐木马上传至政府网站,点击下载后会跳转至政府网站下载链接。
- PoolParty是一种利用Windows用户模式线程池的进程注入技术,可对抗EDR对进程注入的检测。
- 后续迭代更新的样本会使用伪造的数字签名来绕过一些EDR软件。
❓
延伸问答
银狐木马是如何传播的?
银狐木马通过IM软件传播,诱饵为“违纪人员名单”,在微信、企业微信、钉钉、飞书等平台上广泛传播。
银狐木马使用了什么技术来对抗检测?
银狐木马利用PoolParty技术对抗EDR进程注入的检测,将恶意代码注入到系统进程中。
钓鱼网站是如何设计的以诱骗用户的?
钓鱼网站通过快速模板建站,使用动态请求下载文件的方式,经过多次跳转后下载带有后门的程序,页面设计高度仿真。
银狐木马的后门是如何激活的?
后门不会在安装程序运行时直接启动,而是在安装完成后创建的桌面快捷方式中植入启动命令,点击图标时触发后门。
微步情报局如何检测银狐木马样本?
微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对银狐木马样本的精确检测。
银狐木马的样本格式是什么?
银狐木马的样本格式主要为zip或pe格式,文件名通常携带“违纪人员”等关键字。
🏷️
标签
➡️
