“银狐”:2023年最流行黑产工具,已至少关联5个团伙
发布日期:2023-08-03 作者: 来源: 分享:
“银狐”自2023年3月被微步首度揭秘以来,得到了安全圈广泛关注。很多企业也在持续抵御“银狐“对他们的攻击和破坏,我们本以为这是一个相当活跃的黑产团伙,对抗的终点是围剿这个团伙,然而事实却不是我们想象的如此简单。经综合研究后,我们认为,应当推翻“银狐”为某一黑产团伙的结论,认定“银狐”是一个已经被广泛地去中心化传播的黑产工具,任何攻击者都可以获取和使用,目前检测到的活跃的且被公开的团伙多达5个,还有更多不知名或者未公开黑产在持续使用银狐木马。该结论起源于微步情报局近日捕获到银狐其中一个版本的源码,而基于银狐的攻击也呈现出来如下特征说明其是工具而非团伙:
- 银狐相关样本变种之多、变化之快,是单个团伙无法做到的,截至目前为止,仅微步终端安全产品OneSEC捕获到的变种就已经多达百种;
- 攻击者资产之广泛和分散,单个黑灰产团伙极难拥有如此庞大而分散的资产集合;
投递方式非常多样,包括邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款,包括但不限于软件 WPS、PDF、CAD、qwbpro(企微宝)、微信、加速器、360模块,压缩软件、PPT,美图和向日葵软件等。
从木马特点和传播能力来看,“银狐”的影响范围比所有安全从业者认定的都要广泛得多,当前已经成为一些企业安全人员的大难题,而从当前趋势来看,这一威胁还将会持续扩散,影响更多的企业和行业。安全运营团队必须重新制定针对“银狐”的防护计划。微步的终端安全产品 OneSEC 将有效全方面对抗银狐相关的攻击行为,微步威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、安全情报网关 OneSIG 、主机威胁检测与响应平台 OneEDR 等均实时同步对应的威胁情报,已支持对该攻击事件和对应团伙的检测。
点击文末“阅读原文”,可获取完整版“银狐”分析报告。
01
一个可实现稳定上线的远控马
其源码被广泛传播和交易
微步情报局于近日捕获到银狐其中一个版本的源码winos,改写自开源的Gh0st木马。该版本为4.0版本,在黑产圈已存在一定范围的散播,目前该源码已更新到5.26版本。同时,这份源码还在一直被寻求交易。源码结构与很多经典的远控木马别无二致。
主要模块包括上线模块和功能模块。上线模块的功能为维持后门,主要接受命令、执行功能模块功能。功能模块包括播方监听、查注册表、差异屏幕、代理映射、服务管理、高速屏幕、后台屏幕、急速搜索、键盘记录、揭秘数据、前台窗口、视频查看、文件管理、系统管理、娱乐屏幕、语音监听、远程交谈、远程终端、指令集和注入管理等。
分析人员发现该木马除了功能丰富,控制架构非常稳定,可以实现成千上万被控端的稳定上线,且代码注释丰富清晰,易于改写免杀。具备一定经验的黑产团伙,可通过多种方式快速构建给企业对应的免杀马(初始阶段的loader),一旦成功执行,即可下载该木马实现对终端的长期、隐蔽的控制。
02
多行业多手段,危害和影响广泛
由于“银狐”已经在黑市中被广泛传播,使用“银狐”的黑产团伙众多,攻击行业覆盖了金融、运营商、能源、制造、设计、物流外贸、教育、医疗、影视和科技行业、国央企及政府机构等,攻击后的危害也各不相同。微步对各个“银狐”相关团伙进行溯源分析。根据资产归因,攻击方式和攻击目标等特征,后续我们将这些团伙分别编号为A、B、C、D、E以作区分,并建立黑客画像,对其传播方式和资产特点进行详细阐述。
03
传统安全毫无抵抗之力
因为有了稳定可靠的银狐远控马,黑产团伙只需要投入精力在前期的投递和加载核心银狐马即可。目前来看,各团伙为了躲避终端安全和网络检测和防护,花招频出,微步前期也出了多篇文章来介绍该部分的技术(点此查看),主要总结有如下几种:1. 滥用合法签名进行白加黑利用:这类样本通过有两种利用方式, 一是滥用国外软件的签名, 将自身伪造成带合法签名的软件;二是利用具有合法签名的原文件, 然后通过替换其所需的模块来执行恶意代码。2. 模拟鼠标点击运行恶意程序:这类样本能够释放出带恶意功能的样本到某一目录, 然后通过模拟鼠标点击的方式去运行这个带恶意功能的黑模块。3. 内存多阶段解密Payload 执行恶意功能:这类样本不以白加黑的手法来做事情, 而是以多级加载Payload的形式来实现免杀;攻击者第一阶段的样本仅仅是一个下载器, 通过Payload分离的方式从公共网络资源(如有道云笔记等)上下载第二三阶段的Payload, 从而达到免杀的效果,。这类程序通常都有一个共同的特点, 攻击者会将文件名取得尽可能吸引人, 如聊天记录.exe, 电子票据.exe, 个人所得税最新版纳税标准.exe等等。
4. 使用新颖加解密手法执行恶意功能:为了更好的静态免杀, 这类样本使用一些新颖的加解密手法对Payload进行混淆,如(1) 使用冷门加密pybase100将Payload以emoji表情包的形式进行加密,达到完全混淆的目的;(2) 使用LSB隐写术在不影响图片正常显示的情况下将恶意代码嵌入到其中,用来躲避杀软的检查。
04
需持续增强流量和终端检测响应能力
银狐木马还在不断迭代中,而我们要对抗的并不是一个攻击者,而是对抗多一个去中心化的木马构建体系,以及团伙化的作战方式。企业亟需提升办公网安全检测与响应体系:1. 加强流量层面的检测与响应,并尽可能实现自动化的阻断。在数据中心流量检测和态势感知建设不断完备的基础上,办公网要增强对威胁外联的检测和阻断,有效避免员工访问恶意站点,下载恶意工具,员工中招后反连攻击者等产生的网络链接。2. 增加终端侧的行为记录,有效应对复杂攻击的快速回溯与响应。随着攻击者对抗技术的增强,以杀毒、桌管为代表的终端安全防御体系不再能有效防护所有威胁。企业需要有效记录终端上的行为,无论是为后续的威胁检测还是对攻击事件的快速回溯与响应,都是非常基础且重要的。3. 增加终端侧的动态行为检测与响应(EDR)能力,包括有效运营EDR体系的团队和机制。EDR对漏过杀毒体系的恶意代码具备非常强的检测能力,同时能将动态IOA和静态IOC结合进行检测分析,能极大补充杀毒对新型威胁防御不足的短板。4. 引入沙箱能力,在关键位置如邮件安全网关,流量检测中去有效识别银狐相关恶意文件,银狐木马主要改编自Gh0st木马,虽然伴有一些针对流行沙箱产品的反检测技术,但大部分样本并未做到完全绕过,仍然能够被检测出恶意。同时,结合沙箱跑出的网络行为等,能够方便地判断出银狐木马。微步在帮助众多客户应对银狐的过程中,也看到了领先的企业正在不断创新。在面对这样急剧变化的攻防对抗中,这些企业不再完全寄希望于静态的检测规则和防护体系,面对诡计多端的攻击者,他们转向通过构建有效的办公网安全动态检测体系,实现对快速变化的攻击进行全面检测、快速响应。优秀的企业将银狐的事件响应做到了小时级、分钟级,并借攻击者的积极活跃,给员工上了一堂实战化的安全意识培训,打了一场漂亮的胜仗。“银狐”只是个例,随着信息化的不断发展,网络犯罪武器化越来越成熟,这样的威胁只会越来越多,在新型的挑战面前,企业想要增强自身应对新型、高级、隐蔽网络威胁的能力,最佳的时间点就是现在。
