优发国际网站官网

首页 > 关于优发国际网站官网 > 新闻动态 > 深度解读

揭破“银狐”真容，让威胁无处遁形

宣布时间 2024-08-08

编者按：

近期，优发国际网站官网北斗清静运营中心通过天阗威胁剖析一体机（TAR）监测到一起 “(毒鼠)毗连C2服务器”告警事务，第一时间与产品线举行溯源取证剖析，确认源头是某员工装置了LetsVPN。经金睛团队剖析判断，该LetsVPN装置包被捆绑了银狐的WinOS 4.0远控后门。本文将详细揭破这一事务的委屈，剖析其中的清静误差与危害，为企业网络清静防护提供警示与借鉴。

作甚“银狐”？

银狐木马是一类针对特定目的群体举行垂纶攻击的恶意软件，其主要攻击工具包括企事业单位的治理职员、财务职员、销售职员、金融从业职员以及电商卖家等。这类木马通过多种手段举行撒播，对受害者的盘算机系统举行控制和窃取隐私数据，进而为后续的诈骗运动提供便当。

“银狐”撒播方法

银狐木马主要通过以下几种方法举行撒播：

1、即时通讯工具（IM）垂纶

攻击者通过QQ、微信等即时通讯工具发送垂纶文件或网站链接，诱导受害者点击并举行撒播。这些文件或链接通�；嵛弊俺删哂杏盏夹缘拿�，如“效果单”“转账通知单”等。

2、垂纶网站

攻击者会伪造税务机关、金融机构等官方网站的垂纶网站，使用微信垂纶等方法举行撒播。这些网站通�；嵋苑⑵薄⑵本荨⒈ㄋ啊⑺拔袢砑让逵盏际芎φ呦略夭⒅葱卸褚馊砑�。

3、伪装正常软件

银狐木马还会伪装成常用软件，如WPS、MS Office、PDF、微信、钉钉等数十款软件，通过在主流搜索引擎上购置流量举行垂纶撒播，这是现在撒播量最大的一种撒播方法。

样天职析

从官网下载的装置包lest-test.3.1.2.msi，被捆绑了银狐WinOS 4.0远控后门，官网链接：https://letpvpn.com。剖析如下：

MSI文件，即Microsoft Installer的装置包，专为Windows系统设计，用于装置、卸载、修复及更新软件。作为文件名堂，它不由用户直接执行，而是由系统的MS Installer服务（运行于SYSTEM账户）处置惩罚。这一机制不但付与操作治理员权限，还可能触及SYSTEM最高权限，实现高效清静的软件治理。

1、通过Orca工具，审查lest-test.3.1.2.msi装置包文件。

图片1.png

2、通过装置包设置详情显着可以看出：装置包里的文件“__4”被装置生涯为文件名“1”，“xQJnSaS.exe”被生涯为文件名“XPsdjAV.exe”。

3、运行lest-test.3.1.2.msi装置包之后，装置释放的文件。

图片2.png

4、与Orca工具审查的详情完全对应的上，其中“xQGEJun.exe”是真正的letsvpn装置包，用来疑惑受害者。

手艺原理

“XPsdjAV.exe”“libcurl.dll”和“1”是以白加黑形式运行的WinOS 4.0远控。其中，“XPsdjAV.exe”自己是白文件，且有数字署名。“libcurl.dll”是被改动的恶意文件。“libcurl.dll”被“XPsdjAV.exe”加载执行后，读取文件“1”，解密出WinOS 4.0的远控焦点代码。

图片3.png

这是一种典范的"白加黑"攻击模式。在这种模式下，许多终端杀毒软件会默认信托那些带有有用数字署名的程序，以为它们是清静的。然而，攻击者可能会使用这种机制来实现所谓的"免杀"效果。

详细来说，攻击者可能会使用一个带有数字署名且未被改动的正当程序（例如"XPsdjAV.exe"），来诱骗杀毒软件。然后，他们可能会修改该程序所依赖并挪用的DLL文件（例如"libcurl.dll"），使得恶意的DLL文件被加载并执行。别的，攻击者将焦点的远控代码（例如WinOS 4.0）以加密形式生涯在文件"1"中，这使得杀毒软件难以检测到其保存。

优发国际网站官网解决计划

1、高级威胁检测规则

银狐木马攻击手法虽多变，但均有�？裳�，只要有攻击就会有痕迹。TAR内置精准“狩狐”相关检测规则，清静研究团队细密跟踪最新攻击手段，确保检测规则精准监测。

2、高级沙箱检出能力

装备内置多沙箱情形，涵盖window、Linux等情形，接纳静态、误差、行为剖析，内置反沙箱检测机制，对反沙箱、反检测等行为举行规避，周全监测样本运行历程，深入发明银狐木马的威胁行动。

3、加密流量模子剖析

装备嵌入AI算法模子，涵盖ICMP、DNS、HTTP、HTTPS、Webshell隧道模子，以“机械学习、统盘算法、威胁情报、深度包检测”为手艺底座，构建“盛行为剖析、域名剖析、证书剖析、包特征剖析、握手信息剖析”的多模子综合决议系统。

4、天阗AI智能体赋能

天阗AI智能体以“智检测，慧守护”为理念，依据差别检测场景智能化调理种种检测工具和算法，使用LLM推理总结能力对检测效果“深加工”，大幅度提高检测精准度和整体检测性能，资助清静职员更好地相识攻击事务的实质、泉源和潜在影响。

天阗威胁剖析一体机（TAR）通过天阗AI智能体赋能的高级威胁检测、恶意文件检测、加密流量检测等手艺手段周全监测银狐木马，深入洞察潜在威胁，有用阻止危害扩散，为客户网络筑起清静防地。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号