应急与溯源
应急响应|记录第二次银狐病毒全流程排查思路
银狐介绍
银狐是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一,通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击,主要面向政府、高校及企事业单位等关键行业,攻击目标集中在财务和会计领域的专业人员,多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防护,远程控制受害者的计算机,窃取用户的敏感数据和财产信息,具有高度隐蔽性,对中国企事业单位和个人的信息安全构成严重威胁。
病毒特点
| 特点 | 描述/实现方式 |
|---|---|
| 隐蔽 | 银狐病毒会在主机上多个位置释放多个文件,且对文件设置权限以实现隐蔽功能。 |
| 欺骗 | 银狐病毒会对文件名进行修改,并执行白加黑等操作,伪装成wps、财务软件等用户使用频率较高的软件名,以欺骗用户进行点击。 |
| 控制 | 银狐病毒存在回连地址,运行后可与攻击者c2地址进行连接,以便于攻击者控制主机进行操作。 |
行为特征
内存写入、代码注入、进程注入、隐藏文件、修改内存数据、创建快捷方式、获取按键信息、创建可执行文件、释放文件、检测驱动、dll反射加载、创建进程、查询计算机名。
执行链如下:
排查思路
© 版权声明:本文系作者「system」原创/整理,内容仅供安全研究与学习,未经允许请勿转载。
评论 (4)
登录 后参与讨论。
实测在 JDK8u191 之后
XXE就不太好使了,楼主可以补充一下版本限制。感谢分享!最近正好在研究这块,有个问题想请教:命令执行 在沙箱环境下有什么绕过思路吗?
干货,收藏了。这种
反序列化的场景我之前也遇到过,当时是卡在权限维持上,楼主这么一梳理思路清晰多了。这个思路不错,但生产环境往往有 EDR,建议加上免杀/混淆的部分会更完整。