银狐叒进化？清理不掉！一线应急响应工程师教你如何手工处理

简介

下班时间看到微步发布了一篇公众号文章《银狐叒进化，溯源不了，清理不掉！》看完这个文章后，发现，咦？这个样本，一月初的时候不是处理过一个一样的案例。当时还处理的很头疼，最后根据主机现象，分析出主机落地的文件以及恶意行为，处理掉这个病毒程序。那么阅读微步发布的文章后，也更深刻了解了该病毒整体的运行机制。

同时月初的时候，也发现在技术交流群中，也有小伙伴中过银狐，也讨论帮他解决过。

当时未保留样本，但是很幸运，在卡饭论坛发现有大佬早在12月的时候就发现该样本，并上传至论坛。论坛地址：https://bbs.kafan.cn/thread-2274786-1-1.html。那么根据作者处置的记录以及群里的小伙伴反馈，都是在十二月的时候下载远程程序时，误访问钓鱼站点，导致主机中毒。

现象分析

这里在虚拟机中运行该样本，并查看相关行为信息。

这里可以看到恶意的样本是一个msi的程序。

当我们运行该恶意样本后，使用systeminformer查看和安装包相关的行为，检索后，发现恶意程序运行后，会通过msiexec.exe来执行msi安装程序

使用systeminformer监控外连行为，发现winnt.exe存在恶意外连现象

这里使用HawkEye（github：https://github.com/mir1ce/Hawkeye）查询这个外连地址，发现该恶意进程所在位置为：C:Program Files (x86)Windows NTwinnt.exe，未在常见维持项里看到该文件。

那么跟进进程，我们发现在跟winnit.exe进程的相同进程树下面还有个runtime.exe的进程，以及一个计划任务程序

那么先跟进到winit.exe所在的目录，发现文件看不到，那么肯定是被隐藏了

使用Everything进行检索，发现相关目录下存在大量的文件。

那么这里我们重点关注exe文件和dll文件，因为这些文件都是可以在写入注册表中，从而达到权限维持的目的。

这里使用autorun查看启动项，逐一进行检索。发现tprotect.dll被注册为一个名为CleverSoar的服务，curl.dll被注册为Nidhogg的服务

那么在实际应急场景中，安全工程师，终止掉恶意进程runtime和winit后，程序还会被拉起来，那么程序肯定是存在计划任务的。使用autorun来查看，发现确实存在Windows NT目录下的一个文件被注册为计划任务。

同时这个计划任务在C:windowsSystem32Tasks可以看到对应的计划任务文件

那么这里我们就分析出了这个病毒的具体行为了：

1、主机存在计划任务kafanbbs，会一直创建进程

2、主机存在恶意服务Nidhogg和CleverSoar

那么处理的话就比较好处理了：

1、删除计划任务

2、删除服务

以上操作做了后，我们去终止进程的时候发现，进程还是会被拉起来。那么这里就需要祭出火绒剑了，火绒剑有个对抗顽固病毒非常牛批的功能，文件强制删除，在这里就非常好用。找到目标文件后，直接选中非文件夹的文件，直接强制删除，然后再去终止进程即可。

那么这个时候，我们再去看网络连接，干干净净的。

那么为了避免存在残留，处理完后，我们再重启下主机，发现异常的外连进程已经没了

变种

那么根据笔者近期处置的银狐病毒，发现在此基础上，银狐病毒还存在最新的变种。新变种中存在隐藏的计划任务，注册的计划任务通过修改注册表中的index值为0，导致在autorun中无法查看。

同时最新的变种中，拉起外连进程的是regsrv32进程，通过在regsrv32去调用dll文件从而达到维权的目的。同时，regsrv32调用的这个dll会无限的去调用sc.exe，创建临时的计划任务。这个与微步发布的文章中是一样的变种。

那么面对这种新的变种，如果需要终止regsrv32进程是无法终止的。那么进行手工处置的话处理的方式和上面大差不差。

那么保险期间，最好的方式可以通过PE U盘进行启动。启动后到C:Program Files (x86)目录下，将恶意文件都删除。删除完后，再重新启动。使用autorun以及注册表编辑器，删除恶意的计划任务以及注册的恶意服务。

那么PE启动删除文件后，可能会报以下错误。

这里是因为，恶意的计划任务无法使用regsrv32去执行恶意的dll，因为恶意的dll被删除了。那么这里只需要在注册表中删除掉隐藏的计划任务，就可以恢复正常了。

好了，本期文章就到这里。

这里推荐下个人的github项目：HawkEye：https://github.com/mir1ce/Hawkeye，欢迎大家提交issue，后面会持续更新该项目。

同时推荐好兄弟的项目，能够方便大家在应急响应过程中，分析Windows安全日志，github地址：https://github.com/Fheidt12/Windows_Log

微信公众号

更多安全分析或者应急处置的信息，可以关注微信公众号。