2024新澳门六肖,高效策略设计方案:请注意,微信群聊再现“银狐”病毒新变种

2024新澳门六肖,高效策略设计方案:请注意,微信群聊再现“银狐”病毒新变种

娄爔马 2024-11-23 霈睿信息 47 次浏览 0个评论

2024新澳门六肖,高效策略设计方案:请注意,微信群聊再现“银狐”病毒新变种

内容

2024新澳门六肖,高效策略设计方案:请注意,微信群聊再现“银狐”病毒新变种

最近,火绒威胁情报系统监测到,又有后门病毒伪装成“企业补贴政策名单.msi”、“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。用户下载运行该文件后,病毒会被激活并释放多个恶意文件,添加计划任务,远程控制受害者的终端等,对用户构成较大的安全威胁。

经过火绒安全工程师确认,该后门病毒为“银狐”木马的新变种,具有更强的对抗性和隐蔽性。溯源排查发现,该类病毒近期伪装的相关文件名如下:

此前,火绒已披露“银狐”木马呈现变种增多趋势,且采取更多方式对抗安全软件的查杀。火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件(后缀.msi/.rar/.exe/.chm/.bat/.vbs),如有必要先使用安全软件扫描后再使用。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

一、样本分析

  1. 第一阶段

以 "企业补贴政策名单.msi" 为例,用户双击该 msi 文件进行安装后其会执行一系列相关进程,其中以 "CNM.exe" 和 "erp.exe" 为执行主体。病毒样本会释放多个文件在 "C:\Windows\HAHA" 目录下,其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身,是一个文件头和主体分离的 16 进制文本(分离用于免杀操作)。样本会通过 bat 文件进行拼接,并继续执行拼接后的 "exe" 文件。

"CNM.exe" 内部执行过程中会加载同目录下 "opl.txt",后者是一个加密过的用于计划任务的相关代码文件,解密算法如下所示。写入的计划任务用户启动下一阶段的主体文件 "erp.exe",这是一个用于与 C2 进行通信的关键文件。

  1. 第二阶段

erp.exe 是一个白文件,样本使用白加黑的方式规避杀软查杀。其会加载同目录下 "libcurl.dll",后者会加载同目录下 "xo.had" 进行解密并作为回调函数加载执行。

在分析的过程中发现其在 "Services" 服务项中注册了 "Rslmxp nnjkwaum" 目录,并设立 "ConnentGroup" 键,该健是用于统筹连接用的 C2 IP 及标识相关进程使用的。最后样本会单独开启线程进行通信相关操作,连接建立后会在循环中监听信息,后续操作均可以插件的形式下发,以此进行远控和保持配置更新。

溯源分析

值得注意的是,以 erp.exe 部分为主体的进行区分,该类样本早在 3 月份就被相关技术论坛发现及上传,后续发现的相关样本都是其免杀对抗的升级版本。主体文件中 "erp.exe" 所使用的伪造的数字签名和文件信息也在相关“银狐”分析报告中被提及,回顾整个攻击的 "TTP" 和针对的人群(财务类人员),种种证据表明这又是一起“银狐”代表的攻击事件。

二、附录

  • C&C:
  • HASH:

来源:2024新澳门六肖,高效策略设计方案

请注意,微信群聊再现“银狐”病毒新变种,用户需提高警惕,避免点击未知来源的文件,确保个人信息和系统的安全。

转载请注明来自上海霈睿信息科技有限公司,本文标题:《2024新澳门六肖,高效策略设计方案:请注意,微信群聊再现“银狐”病毒新变种 》

百度分享代码,如果开启HTTPS请参考李洋个人博客
每一天,每一秒,你所做的决定都会改变你的人生!
Top