銀狐概況

銀狐木馬是一種針對企事業(yè)單位管理人員、財務人員、銷售人員及電商賣家進行釣魚攻擊的惡意軟件。該家族木馬主要通過釣魚網(wǎng)頁、即時通訊軟件、下載站偽裝成常用軟件供用戶下載等方式進行傳播。它通常利用具有誘導性的文件名，如“成績單”、“轉(zhuǎn)賬通知單”等，通過QQ、微信等即時通信軟件發(fā)送釣魚文件或網(wǎng)站鏈接，誘導受害者點擊。

此外，銀狐木馬擅長使用白利用、內(nèi)存loader等技術(shù)手段，呈現(xiàn)多階段的投遞方式，并使用云筆記存儲其payload數(shù)據(jù)。它能夠迅速傳播和潛伏在系統(tǒng)中，具備高度隱蔽性和復雜的功能。

傳播方式

搜索引擎SEO推廣

一直以來，銀狐類釣魚木馬慣用的傳播手段便是利用搜索引擎的SEO推廣機制，將流量吸引至自行構(gòu)建的虛假站點，再通過虛假站點的誤導性內(nèi)容進行釣魚傳播。

一旦有用戶陷入誤導，便會跟隨虛假指引下載木馬安裝包，主動安裝木馬。這類投放方式面向的是普通大眾，而虛假站點通常也是直接仿冒各類知名大站，普通用戶往往難辨真?zhèn)巍?/span>

圖1. 某搜索引擎中搜索到的虛假釣魚站點

圖2. 虛假釣魚站點頁面?

工具軟件仿冒傳播

除了通常的SEO推廣外，銀狐還會仿冒成各類熱門的工具軟件，目前已知被仿冒過的工具軟件主要有：Telegram、v2ray、XShell、MobaXterm等。

例如搜索“telegram中文版下載”，便能夠找到大量釣魚站點，或是找到給釣魚站點引流的帖子、教程等。這是一類長期活躍的釣魚群，摻雜有多個木馬家族。此類傳播方式主要面向的是IT管理人員、外貿(mào)從業(yè)人員或涉及灰黑產(chǎn)的人士等，一般隱秘程度較高。

圖3. 偽裝為SecureCRT的銀狐木馬下載頁面?

釣魚頁面定向投放

在釣魚頁面?zhèn)鞑ィ粽邉t更傾向于針對企業(yè)職員進行定向投遞。稅務稽查類釣魚頁面通常是此類釣魚攻擊實施中的核心一環(huán)。攻擊者一般通過聊天軟件、郵件、短信等方式發(fā)送欺詐鏈接給用戶，誘騙用戶打開進而下載木馬。比如：

圖4. 帶有木馬安裝包的釣魚頁面?

網(wǎng)盤/OSS掛載木馬包

這是目前主流的木馬安裝包的掛載形式。由于安全軟件對木馬的窮追猛打，使用自建站點傳播木馬容易被整站封禁，成本較高，導致很多銀狐類木馬在對抗過程中改用了網(wǎng)盤或云服務商提供的Object Storage Service (OSS)來掛載木馬。這樣也讓防護人員很難根據(jù)站點IP或域名進行封禁或者溯源。而在木馬下載鏈條中，只能對單個下載頁面進行相對精準的定位和封禁。

圖5. 360攔截掛載于網(wǎng)盤中的惡意木馬包?

微信傳播

需要特別注意的是，微信作為目前國內(nèi)最主流的通訊方式也必然成為了攻擊者實施其釣魚攻擊而必然選擇的傳播渠道。而利用微信的傳播手段根據(jù)賬號類型通常又會分為兩類：一類是仿冒其他人的微信號，加群或者加個人發(fā)起釣魚攻擊。另一類則是利用已經(jīng)中招電腦上登錄著的微信，控制其賬號向好友和群內(nèi)發(fā)起釣魚攻擊。

而常見的利用微信的傳播方法有如下幾種：

發(fā)送虛假釣魚圖片

攻擊者會在圖片中置入下載鏈接或二維碼，之后指引用戶使用電腦打開釣魚站點進一步安裝木馬的。這種方法雖然不容易直接被安全軟件攔截，但是需要用戶手動操作。

圖6. 攻擊者通過微信發(fā)送帶有惡意二維碼的釣魚圖片

直接在群內(nèi)發(fā)送釣魚文件

這類方法是最直接、最常見的一類釣魚投遞方式，但缺點也較為明顯——就是容易被封禁，也容易被安全防護軟件攔截。

圖7. 直接在微信群中發(fā)送釣魚文件?

使用Excel、PDF等方式釣魚

因為直接發(fā)送釣魚木馬容易被攔截，攻擊者便又想出了把木馬藏在文檔中進行發(fā)送的方法。

圖8. 潛藏在Excel文檔中的釣魚鏈接?

利用微信收藏筆記方法進行傳播

此類手段同樣也是為了避免直接傳文件容易被封禁和被安全軟件攔截。攻擊者又想出了利用微信筆記的方式繞過封禁進行傳播的方法。

圖9. 利用微信筆記傳播釣魚文件

以上是銀狐的一些主流傳播方式。可以看出，銀狐的傳播方式也是在和安全產(chǎn)品的對抗中不斷演變而來，而這個腳步顯然并不會就此停止，而是會繼續(xù)演化。

攻擊對抗

在完成釣魚的傳播后，木馬還要對抗安全軟件，實現(xiàn)長期駐留控制用戶電腦的目的。以當前較為流行的銀狐家族木馬為例，主要有幾種對抗方式。

利用RPC管道遠程創(chuàng)建計劃任務與服務

服務和計劃任務是木馬攻擊中非常常見的駐留手段。木馬可以通過命令或者API調(diào)用的方式實現(xiàn)服務或計劃任務的創(chuàng)建，例如利用“SC Create”命令或者調(diào)用CreateService API創(chuàng)建服務。由于這類命令或者API被大量木馬使用，因此大部分安全軟件也對這類敏感調(diào)用進行攔截。銀狐木馬為了繞過安全軟件的攔截，另辟蹊徑使用RPC管道方式創(chuàng)建計劃任務與服務。

RPC管道方式創(chuàng)建計劃任務是MS-TSCH協(xié)議注冊計劃任務的一種改進方法。傳統(tǒng)方式下，ITaskSchedulerService接口中導出的方法SchRpcRegisterTask可被用于創(chuàng)建計劃任務，調(diào)用者只需要指定計劃任務的配置XML并調(diào)用該方法即可創(chuàng)建計劃任務。因此木馬常使用SchRpcRegisterTask方法代替schtasks命令或ITaskService接口創(chuàng)建計劃任務，來繞過安全軟件檢測。

圖10. SchRpcRegisterTask方法參數(shù)介紹?

????? 而銀狐木馬對該方法進行改進，改進主要分兩部分：

構(gòu)造RPC數(shù)據(jù)包

調(diào)用NdrClientCall3函數(shù)向COM Server發(fā)送數(shù)據(jù)包模擬SchRpcRegisterTask方法調(diào)用。

圖11. 銀狐調(diào)用NdrClientCall3函數(shù)模擬SchRpcRegisterTask方法調(diào)用?

構(gòu)造RpcStringBindingComposeW函數(shù)調(diào)用

在RpcStringBindingComposeW函數(shù)調(diào)用中指定RPC端點為“\\pipe\\atsvc”，這使得RPC通信通過管道方式實現(xiàn)而非常規(guī)方式。

圖12. 銀狐RPC調(diào)用初始化部分代碼?

????? 這兩個改進有效規(guī)避了對SchRpcRegisterTask方法的調(diào)用，并且避免了出現(xiàn)相同的路徑參數(shù)，從而規(guī)避常規(guī)殺軟、EDR產(chǎn)品的監(jiān)測。

????? RPC管道方式創(chuàng)建服務的攻擊手法最早公開于2022年，該方法通過簡單調(diào)用CreateFile函數(shù)和WriteFile函數(shù)模擬通過管道進行RPC通信，向服務管理相關的COM Server發(fā)送特定的消息實現(xiàn)服務的創(chuàng)建、執(zhí)行、刪除等操作。該方法規(guī)避了對敏感API的調(diào)用，僅使用簡單的CreateFile函數(shù)和WriteFile函數(shù)就完成命令執(zhí)行。

圖13. 2022年公開的CreateSvcRPC項目測試示例?

進入系統(tǒng)后的“大展拳腳”

銀狐木馬主要利用上述手段實現(xiàn)命令執(zhí)行目的后，便會使出渾身解數(shù)在系統(tǒng)中進行各類惡意操作。

SecLogon偽造父進程

SecLogon濫用方法最早公開于2021年。起初，CreateProcessWithTokenW和CreateProcessWithLogonW函數(shù)被用于以輔助登錄的方式啟動進程，也叫SecLogon，最常用的地方就是Windows的UAC彈窗。然而，這兩個函數(shù)本質(zhì)是以RPC調(diào)用的方式實現(xiàn)SecLogon的，需要調(diào)用者將自身的進程信息告訴COM Server，COM Server才能知道是哪個進程發(fā)起的SecLogon。

因此這兩個函數(shù)會調(diào)用GetCurrentProcessID函數(shù)獲取自身PID并發(fā)送給COM Server，COM Server會將其作為新創(chuàng)建進程的父進程PID。而GetCurrentProcessID函數(shù)是通過TEB結(jié)構(gòu)體獲取當前進程PID的，這就存在被利用的風險——攻擊者可以修改當前進程TEB，從而讓GetCurrentProcessID函數(shù)獲取錯誤的PID并發(fā)送給COM Server。

圖14. SecLogon濫用方法介紹?

銀狐木馬正是利用這一方法，調(diào)用CreateProcessWithTokenW 和CreateProcessWithLogonW函數(shù)創(chuàng)建進程并給COM Server發(fā)送了錯誤的PID，從而導致新創(chuàng)建的進程其父進程PID是錯誤的。“銀狐”木馬通過該方式偽造父進程，構(gòu)造了一個錯誤的進程鏈迷惑安全軟件，從而繞過安全軟件的攔截。

發(fā)送消息嘗試結(jié)束安全軟件

銀狐木馬在進入機器后，會遍歷窗口查找安全軟件的窗口，并嘗試對窗口發(fā)送WM_CLOSE和WM_QUIT消息關閉安全軟件。

圖15. 銀狐嘗試發(fā)送消息關閉安全軟件?

模擬點擊安全軟件攔截彈窗

銀狐木馬在運行生命周期中會創(chuàng)建一個輔助線程，該線程的功能就是循環(huán)查找安全軟件的攔截彈窗，一旦出現(xiàn)安全軟件攔截彈窗，立即通過mouse_event、InjectMouseInput、NtUserInjectKeyboard等函數(shù)，模擬用戶操作來點擊“允許”按鈕，從而規(guī)避攔截。

圖16. 模擬鼠標點擊來關閉安全軟件攔截彈窗?

PoolParty注入技術(shù)

PoolParty注入技術(shù)最早公開于2023年。該技術(shù)包含8種不同的注入變種，其主要原理是通過將惡意工作項插入目標進程的線程池中，從而使目標進程執(zhí)行插入的工作項，實現(xiàn)另類的代碼注入。該方法能避免對CreateRemoteThread等敏感函數(shù)的調(diào)用，從而規(guī)避安全軟件的攔截。

圖17. PoolParty注入技術(shù)圖解?

銀狐木馬利用PoolParty注入技術(shù)代替常規(guī)的代碼注入方法，將代碼注入到系統(tǒng)進程中執(zhí)行，規(guī)避安全軟件攔截。

圖18. 銀狐利用PoolParty注入技術(shù)部分代碼?

此外，木馬還會使用其它攻擊方式。這其中通常包括利用一些安全軟件、系統(tǒng)維護工具的驅(qū)動來關閉安全軟件。利用軟件兼容性策略，誘騙安全軟件自行關閉等方法。

可以說銀狐是一個武力值頗高的狡猾木馬。使用360終端安全產(chǎn)品，均能夠有效應對這些攻擊技術(shù)。

系統(tǒng)駐留

一般病毒木馬，即使有電腦中招，用戶通過殺毒清理或殺軟的主動掃描、推送掃描機制，也能夠很快對其滅活。所以在完成殺軟的防御對抗后，木馬還要想方設法地延長其存活時間。

常見的木馬駐留方式，主要是Run自啟動項、服務項目、計劃任務等。這些方式，在銀狐木馬中也都有體現(xiàn)，但銀狐木馬對其進行了一些“創(chuàng)新”。

利用系統(tǒng)程序，加參數(shù)腳本實現(xiàn)啟動。

利用系統(tǒng)中的一些程序，實現(xiàn)特定功能，這在木馬攻擊中非常普遍，銀狐木馬會選擇一些較少被使用到的程序?qū)崿F(xiàn)該方法。比如，木馬使用FTP靜默執(zhí)行特定腳本的方式，實現(xiàn)啟動。系統(tǒng)的FTP程序本是用來訪問FTP站點的，但通過特定的命令參數(shù)，可以使用程序的啟動，連環(huán)利用類似的策略，攻擊者就可以實現(xiàn)在沒有常規(guī)木馬文件落地的情況下實現(xiàn)木馬的駐留。

圖19. 木馬利用FTP實現(xiàn)系統(tǒng)駐留?

利用企業(yè)管控軟件、安全軟件實現(xiàn)長期駐留

企業(yè)管理管控軟件，本身是服務于企業(yè)對設備的管理的，具有一定的監(jiān)控和控制功能。這些軟件都是屬于正規(guī)軟件，一般不會被安全軟件檢出和清理。同時這類軟件本身具有防卸載、防關閉的能力，普通用戶如果被安裝，也很難卸載清理。銀狐木馬就是看中了這一點，在木馬駐留后不久，就會迅速向用戶電腦安裝這類軟件，實現(xiàn)長期控制。

在我們協(xié)助用戶處理木馬時，已經(jīng)多次出現(xiàn)同時安裝多款企業(yè)管控軟件的情況：

圖20. 木馬利用企業(yè)管控軟件實現(xiàn)系統(tǒng)駐留?

360終端安全針對系統(tǒng)駐留的檢出能力

目前360終端安全產(chǎn)品，通過全網(wǎng)大數(shù)據(jù)能力，已經(jīng)可以支持陽途、固信、IPGuard、濟南安在等多款企業(yè)管理軟件的自動判別。如果發(fā)現(xiàn)是被銀狐安裝管控的，可實現(xiàn)一鍵卸載，一鍵滅活，攻擊者裝再多后門也沒用。

圖21. 360終端安全能夠有效檢出木馬的系統(tǒng)駐留?

其它的駐留方式，還包括跳板程序、利用正規(guī)軟件功能等等。但不論木馬再狡猾，360終端安全產(chǎn)品均會第一時間跟進處置。

盈利手段

目前，銀狐類木馬的主要危害還是集中于“信息竊取”，以及因此產(chǎn)生的電信詐騙。攻擊者利用其掌控的電腦，收集用戶的個人信息以及企業(yè)信息，伺機發(fā)起詐騙。

因此，銀狐木馬特別偏愛企業(yè)職工——尤其是企業(yè)財務人員。其竊取的主要信息包括：微信密鑰與聊天記錄、企業(yè)財稅文件、企業(yè)工資單等企業(yè)財務相關內(nèi)容。另外木馬還會實時檢測用戶對電腦的操作過程，掌握用戶的身份與操作習慣等。

圖22. 受害者自述被木馬控制后的真實情況?

但除了用于詐騙外，竊取虛擬貨幣，以及利用被控制的“肉雞”實施挖礦，進行DDoS攻擊也在部分銀狐木馬的“菜單”中。

后臺木馬

銀狐使用的木馬眾多，免殺者、木馬作者也“不計其數(shù)”。其中使用較為廣泛的一款，是一個被稱為WinOs的Gh0st改版遠控。我們近期捕獲的一個版本是銀狐WinOs 4.0。

銀狐WinOs遠控具備完整的功能體系和控制架構(gòu)，能夠管理數(shù)千個終端節(jié)點的同步連接。其架構(gòu)主要由核心的上線模塊和豐富的功能模塊構(gòu)成：上線模塊負責維持通信鏈路，接收指令并調(diào)度各項功能；功能模塊則提供多樣化的管理能力，涵蓋系統(tǒng)、網(wǎng)絡、安全等多個維度的操控需求。其功能簡圖如下：

圖23. 銀狐WinOs 4.0功能簡圖

銀狐木馬的功能也是模塊化構(gòu)造的，其主要模塊概覽如下：

圖24. 銀狐WinOs 4.0模塊概覽圖?

為了方便攻擊者統(tǒng)一管控被感染的受害客戶端，木馬還“貼心”的提供了主控程序：

圖25. 銀狐木馬主控程序?

作為一款功能強大且復雜的綜合型木馬，銀狐還提供了豐富的插件庫：

圖26. 銀狐木馬主插件功能模塊?

安全提示

針對此類攻擊，安裝有360終端安全客戶端的用戶無需過度擔心，只需正常開啟360客戶端并確保其防護功能生效，其余的只要交給360即可。

圖27. 360客戶端有效攔截銀狐木馬?

對于各類釣魚攻擊，我們向廣大用戶提出以下幾點安全建議：

1. 安裝安全軟件并確保其防護功能已被完整開啟，保證安全軟件能有效保護設備免受惡意攻擊；

2. 相信安全軟件的判斷，切勿輕易將報毒程序添加至信任區(qū)或退出安全軟件；

3. 在確定安全性之前，切勿打開各類即時通信軟件或郵件中附帶的可疑附件或鏈接地址。

而針對銀狐木馬本輪攻擊的特點，我們進一步呼吁各企事業(yè)單位或政府機關：

1. 人員角度：重視對財稅人員的信息安全培訓，加強財稅人員的信息安全意識和識別能力；

2. 技術(shù)層面：通過各類軟/硬件防護體系的構(gòu)建，對財稅設備與各類服務器設備、一般辦公設備、其他類型重要設備均進行安全隔離和專項防護。最大限度的保障各類設備組群的相對獨立性及安全性；

制度層面：完善財稅等重要崗位的責任制度，將信息安全的相關能力和事故影響納入到考核指標及問責體系當中。