对抗升级，银狐又双叒现新手法（附二、三波手法分析）

犹记得之前微步披露过，深度分析一经发布便得用户纷纷认可。但万万没想到的是，仅一周时间，微步OneSEC 又发现“银狐”的攻击手法已经改头换面，彻底变样。现分享给各位读者：

“银狐”新的投递手法是伪装成正常程序安装包，通过搜索引擎推广来诱导用户下载安装。同时微步发现，在安装环节，银狐所使用的新攻击手法，再次绕过了大部分的终端杀软和EDR。

# “银狐”新手法揭秘 #

鱼目混珠：利用合法签名重打包样本程序

伪装成第三方应用安装包的母体程序，具备合法的签名，其中还包括国外厂商的合法签名。解压后除了正常的安装软件，还包括与母体程序签名一致的可执行程序。

用户安装母体程序的过程中，看似在安装合法软件，其实后台也同步运行对应可执行程序。该可执行程序不仅具备合法签名，且执行代码中并不包含任何恶意特征，执行动作也不包括恶意行为，只是简单的释放、收集信息和执行进程操作，真正的恶意动作在后续操作中进行，详见下文【手法二】。

手法总结 …

重打包安装包，并使用国外厂商合法签名，有效降低杀软查杀率。执行后释放真正安装程序实现正常安装掩人耳目，后台执行真正恶意代码以实现远控能力。

金蝉脱壳：加密dll释放恶意文件并内存执行

伪装成第三方应用程序的母体程序，后台运行的进程会释放一个不包含恶意代码的可执行程序和部分加密的dll文件，这些文件被释放在Public目录下。

以本截图为例，后台运行进程会执行95LEw.exe，并自动加载liteav.dll文件。恶意进程会将liteav.dll中加密部分数据段在内存中解密，以此获得一个新的dll文件，然后通过自解析的方式，将这个新dll文件“反射加载”到内存中执行。

手法总结 …

释放加密的dll有效绕过了杀软检测，然后通过内存动态加载并执行解密后的dll，避免杀软的主防和大部分的EDR产品。

以本次的一个变种为例，我们简化了执行过程以帮助大家更好了解其攻击过程（请特别注意，为简化理解，该图并非真正的执行进程链。

☞ 其他风险提示：

在本次攻击行为中，恶意样本除了连接远控等待接收攻击者指令外，还会采集用户终端上的各种信息：操作系统版本号、CPU型号、QQ号、杀软信息、本地网络连接情况以及远程桌面端口等。此外，微步还发现其会进行更多操作：如恶意程序会删除用户电脑中浏览器保存的凭证, 强制用户在使用浏览器访问网站时重新输入账密, 以通过键盘记录功能获取用户账密等信息。因此，提醒中招的用户，在清理银狐后门后，要及时调整重要系统的用户名密码。

以上为银狐第二波更新的攻击手法，还未等到我们发布，就接到分析师消息：发现银狐又双叒有新攻击手法。具体如下：

从投递方式上看，如第二波一样，将恶意软件与第三方正常程序打包成一个新的母体样本。当母体样本运行后，绕过方式有了新花样，关注并持续Hunting的同学值得特别关注。

假传圣旨：模拟点击启动快捷方式构建合法进程链

当母体样本运行后：

首先，利用COM接口创建快捷方式，并指向具备恶意意图的可执行文件（释放自母体样本）；
其次，启动Windows“启动”窗口；
最后，通过“启动”窗口，模拟点击执行上一步创建的恶意快捷方式，由此成功运行恶意软件。

通过这种方式执行起来的后续进程，在进程链上显示的父进程为explorer（即系统可信进程，容易被杀软和EDR忽略），这样就构建了一条“合法”的进程链。即使后续进程config.exe进行了持久化操作，其对应的父进程依然是explorer.exe，极具迷惑性。如下图所示：

手法总结 …

这一手法与类似，但这一变种利用了模拟Windows“启动”窗口来执行恶意进程，进而构建合法执行链路，有效地绕过了很多杀软和EDR的检测。虽然用户可能会看到屏幕上一闪而过的启动窗口，但极大几率不会引起用户关注、警惕，因此也具备较好的绕过效果。

与前文一样，微步分析师抽象了一个执行过程图供大家参考（不代表实际进程链）：

从银狐团伙不间断更新攻击手法这一现象可以看到，攻防双方之间的对抗日趋激烈，要根据不断推陈出新的攻击手法，随之动态提升威胁发现能力与安全防护能力，一个好的终端安全产品至关重要。

本次微步与银狐团伙之间的攻防较量，不仅考验了OneSEC在真实攻击事件中的威胁发现能力，也证明了OneSEC在实际办公网场景下的安全防护能力。目前，除了OneSEC之外，微步其他产品，如威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS等均已支持对银狐新攻击手法的检测。

· END ·