最近，火絨威脅情報系統(tǒng)監(jiān)測到，又有后門病毒偽裝成“企業(yè)補(bǔ)貼政策名單.msi”“12月稽查稅務(wù).msi”等誘導(dǎo)性文件在微信群聊中相互傳播。用戶下載運行該文件后，病毒會被激活并釋放多個惡意文件，添加計劃任務(wù)，遠(yuǎn)程控制受害者的終端等，對用戶構(gòu)成較大的安全威脅。

用戶反饋情況

經(jīng)過火絨安全工程師確認(rèn)，該后門病毒為“銀狐”木馬的新變種，具有更強(qiáng)的對抗性和隱蔽性。溯源排查發(fā)現(xiàn)，該類病毒近期偽裝的相關(guān)文件名如下：

偽裝文件名

此前，火絨已披露“銀狐”木馬呈現(xiàn)變種增多趨勢，且采取更多方式對抗安全軟件的查殺。火絨工程師再次提醒大家時刻注意群聊中發(fā)送的陌生文件（后綴.msi/.rar/.exe/.chm/.bat/.vbs），如有必要先使用安全軟件掃描后再使用。目前，火絨安全產(chǎn)品可對上述病毒進(jìn)行攔截查殺，請用戶及時更新病毒庫以進(jìn)行防御。

查殺圖

一、樣本分析

第一階段：

以 "企業(yè)補(bǔ)貼政策名單.msi" 為例，用戶雙擊該 msi 文件進(jìn)行安裝后其會執(zhí)行一系列相關(guān)進(jìn)程，其中以 "CNM.exe" 和 "erp.exe" 為執(zhí)行主體：

進(jìn)程執(zhí)行圖

病毒樣本會釋放多個文件在 "C:\Windows\HAHA" 目錄下，其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身，是一個文件頭和主體分離的 16 進(jìn)制文本（分離用于免殺操作）。樣本會通過 bat 文件進(jìn)行拼接，并繼續(xù)執(zhí)行拼接后的 "exe" 文件。

目錄相關(guān)文件

"CNM.exe" 內(nèi)部執(zhí)行過程中會加載同目錄下 "opl.txt"，后者是一個加密過的用于計劃任務(wù)的相關(guān)代碼文件，解密算法如下所示：

opl.txt 相關(guān)

寫入的計劃任務(wù)用戶啟動下一階段的主體文件 "erp.exe"，這是一個用于與 C2 進(jìn)行通信的關(guān)鍵文件：

寫入的計劃任務(wù)

隨后樣本連接托管的服務(wù)器，下載下一階段需要使用的 "libcurl.dll"，這是一個 "shellcode" 相關(guān)的加載器：

火絨劍執(zhí)行圖

第二階段：

erp.exe 是一個白文件，樣本使用白加黑的方式規(guī)避殺軟查殺。其會加載同目錄下 "libcurl.dll"，后者會加載同目錄下 "xo.had" 進(jìn)行解密并作為回調(diào)函數(shù)加載執(zhí)行：

libcurl.dll 加載圖

解出來的代碼使用了包括代碼動態(tài)生成及多層混淆等手段用于躲避查殺：

代碼縮略圖

在分析的過程中發(fā)現(xiàn)其在 "Services" 服務(wù)項中注冊了 "Rslmxp nnjkwaum" 目錄，并設(shè)立 "ConnentGroup" 鍵，該健是用于統(tǒng)籌連接用的 C2 IP 及標(biāo)識相關(guān)進(jìn)程使用的。

注冊表設(shè)立

要連接的 "C2 IP" 是以硬編碼的方式存在于樣本中的，"IP" 和前面設(shè)立注冊表項會拼接在一起，創(chuàng)建一個標(biāo)識特定連接 IP 的互斥體：

互斥體創(chuàng)建

最后樣本會單獨開啟線程進(jìn)行通信相關(guān)操作，連接建立后會在循環(huán)中監(jiān)聽信息，后續(xù)操作均可以插件的形式下發(fā)，以此進(jìn)行遠(yuǎn)控和保持配置更新：

通信相關(guān)操作

溯源分析：

值得注意的是，以 erp.exe 部分為主體的進(jìn)行區(qū)分，該類樣本早在 3 月份就被相關(guān)技術(shù)論壇發(fā)現(xiàn)及上傳，后續(xù)發(fā)現(xiàn)的相關(guān)樣本都是其免殺對抗的升級版本：

VT 檢測圖

主體文件中 "erp.exe" 所使用的偽造的數(shù)字簽名和文件信息也在相關(guān)“銀狐”分析報告中被提及，回顧整個攻擊的 "TTP" 和針對的人群（財務(wù)類人員），種種證據(jù)表明這又是一起“銀狐”代表的攻擊事件：

相關(guān)偽造證書

二、附錄

C&C：

HASH：