观成科技:银狐新木马加密通信分析

最新推荐文章于 2025-11-05 13:44:44 发布
原创 最新推荐文章于 2025-11-05 13:44:44 发布 · 765 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#科技 #信息与通信

  • 概述

自2023年以来,“银狐”木马在国内大规模传播,成为多个黑产团伙广泛使用的远控工具。不同团伙在利用该木马进行攻击时,所采用的攻击手法存在差异,尤其在加密通信方面表现出多样化。

近期,观成安全研究团队监测到“银狐”木马在通信加密方式上的新变化。该木马的通信过程分为两个阶段:

第一阶段:下载阶段。此阶段与旧版本的“银狐”类似,木马通过TCP协议向服务器发送特定字符串,服务器则返回远控载荷。载荷内容采用简单的异或加密方式进行处理,整体流程与以往无显著差异。

第二阶段:远控通信阶段。木马开始采用 AES-256-GCM 加密算法对远控通信数据进行加密,相较于此前使用的 AES-128-CTR 算法,GCM 模式内置认证机制,通过生成认证标签(Tag)有效验证密文及附加数据的完整性,为木马通信提供了高度保密性与抗篡改性,可见其在流量隐藏方面的重视。

  • 样本信息

表 1 样本信息

文件Hash

381956e658c2f8128694ac7c54586397

C&C服务器

43.194.227.43:443

样本类型

远控、下载

  • 加密通信分析

样本分两阶段加密通信,第一阶段用于下载后续远控载荷,第二阶段为远控产生的加密通信流量,两个阶段通信的服务器为同一个,端口也都使用了443端口。

  • 下载阶段

样本首先向服务器发送请求以获取远控阶段载荷,上传信息为“w64+服务器IP”,猜测该信息含义是请求服务器下发64位windows版本木马,远控地址为指定IP的远控样本。服务器下发的载荷进行了简单的异或加密,异或密钥为“0x99”,解密后的载荷为PE文件。

图 1 下载阶段加密流量截图

图 2 下载阶段通信流量解密截图

  • 远控阶段

第二阶段为远控产生的加密通信流量,通信载荷使用了AES_256_GCM加密方式加密,加密使用的IV随着流量传输,加密使用的KEY“|6533393662626230353335323964326464623137623130306161303464376335|”硬编码记录在样本中。样本使用AES_256_GCM加密方式,与传统的加密方式相比,GCM 是一种集成了加密与认证功能的高级加密模式,在加密数据的同时,能够生成一个认证标签(Tag),用于验证数据的完整性与真实性,防止通信内容被篡改或伪造,从而为恶意流量的隐藏和抗分析提供了更强保障。

图 3 远控阶段加密通信流量数据结构截图

图 4 远控阶段通信流量解密截图

  • 产品检测

观成瞰云(ENS)-加密威胁智能检测系统能够对该类型“银狐”木马进行有效检出。

  • 总结

对“银狐”木马的分析中可以看出,该木马存在多个版本,每个版本都对加密算法、加密密钥等进行了迭代更新,可见黑产团伙对流量加密的重视,这就导致这种加密流量检测的难度在逐步提高。观成安全研究团队长期跟踪活跃的木马家族,对木马使用加密流量的技术进行深入研究,结合特征检测、行为检测、AI模型等检测能力形成全方位的检测解决方案。

  • 参考链接
  • 探幽寻秘,一网打尽-多版本银狐木马加密要素揭秘

https://mp.weixin.qq.com/s/Ua3t5wB2u6Unn1vJxJb7tA

亚信安全捕获银狐木马控制端样本,揭晓最发现
亚信安全官方账号的博客
01-04 4626
近日,亚信安全威胁情报中心获取到银狐远控样本,通过远控端生一个Payload并对Payload进行分析,还原了银狐组织攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。
【病毒分析】潜伏在AI工具中的幽灵:银狐家族社工攻击的深度剖析
solarset的博客
03-11 1428
本次分析的恶意样本系APT组织"银狐"利用DeepSeek大模型热度精心策划的社工攻击典型案例。攻击者通过伪造"大模型自动安装助手"软件,借助NSIS打包、PowerShell脚本注入、内存加载等技术,构建了一条隐蔽的攻击链路。其核心策略包括:1.热点捆绑:以AI技术工具为伪装,精准诱骗技术用户下载;2.持久控制:结合计划任务欺骗和进程共生机制,确保恶意程序长期存活。该案例体现了APT攻击者对技术趋势的敏锐捕捉能力,以及对社会工程学底层系统漏洞的深度融合。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4177
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
银狐木马实操指南:传播入口识别、模块化架构逆向防御落地
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
10-23 1794
前置预防禁用Windows“隐藏已知文件扩展名”功能(控制面板→文件夹选项→查看→取消勾选“隐藏已知文件类型的扩展名”),避免双击类伪装文件;安装EDR(终端检测响应)工具(如奇安信天擎、火绒终端安全),开启“进程注入防护”“恶意代码静态分析”功能,重点拦截加载未知DLL的行为;定期更系统软件补丁,尤其修复Exchange、Apache、Adobe等高危漏洞,关闭不必要的远程服务(如SMB 1.0、RDP)。事中检测监控异常进程:关注“explorer.exe”等正常进程是否加载。
银狐样本分析
weixin_45880501的博客
04-26 2366
msi在安装过程中执行恶意脚本,在C盘释放载荷ee.exe,ee.exe解密执行shellcode,shellcode通过多种手段执行反调试操作,添加Windows Defender的排除路径,解密字符串获取url后建立连接下载文件并解密,获得多个url,继续下载文件释放到指定路径下,文件包括具有数据签名的白文件,恶意dll,ffff.pol,ffff,lop。
探幽寻秘,一网打尽—多版本银狐木马加密要素揭秘
GCKJ_0824的博客
01-23 1787
使用XOR+加减法加密的样本共发现四种,分别使用四个不同的加密密钥,解密后的上线包数据为计算机名、当前时间等系统信息,数据格式一致,均由0xF字节长度的数据头+实际上传数据构,数据头包含3字节的特征字符+整体数据长度+实际上传数据长度+固定字符。两种样本的通信载荷数据格式一致,前4字节是数据长度,后面跟10字节密钥数据,密钥数据0x36、0x3d(两个样本中硬编码记录)进行加法运算后得到XOR密钥,后面1字节在服务器发送给客户端的数据中存储着控制指令,最后一部分是XOR加密的数据。
【病毒分析】R3强杀360:银狐远控病毒再进化
solarset的博客
01-17 1852
银狐病毒自2022年起活跃,主要针对中国用户和企事业单位,尤其是财务、管理和专业领域的从业人员。该病毒通过多种攻击手段传播,包括伪装为税务、财务相关文件的钓鱼邮件、社交平台的恶意链接,以及利用SEO(搜索引擎优化)确保其钓鱼网站在中国搜索引擎中的排名靠前。此外,银狐还结合恶意广告投放和多次电子邮件钓鱼活动,分发远程管理木马(RATs),以实现对受害者设备的远程控制和数据窃取。以下为近期捕获到的一起银狐病毒样本,我们对其进行了深入分析
安全圈最被低估的10个神器:一个比一个强大,大佬都在偷偷用!零基础入门到精通,看这篇就够了!赶紧收藏!
baimao__Ch的博客
02-14 2843
这些冷门的网络安全工具是你工具箱中的强大补充,它们提供了独特的功能,覆盖从侦察到漏洞利用的多个环节。虽然像 Nmap 和 Burp Suite 这样的工具不可或缺,但探索像 CyberChef、BloodHound 和 Impacket 这样的“宝藏工具”能让你在网络安全工作中更加高效和灵活。
银狐木马查杀工具!!!
07-03
银狐木马查杀工具是一款专门针对银狐木马及其变种设计的查杀软件。银狐木马是一种恶意软件,能够对计算机系统造严重的安全威胁,包括数据泄露、系统性能下降、甚至远程控制等。为了有效地清除这种威胁,银狐木马...
银狐木马攻击手法揭秘.pdf
02-01
近期,银狐木马背后的黑产团伙再次活跃起来,并展现出了的攻击手法。这些攻击手法更加针对特定的目标,涉及金融、能源、电商、教育和医疗等多个行业。攻击手段也变得更加多样化,包括使用CHM和MSI文件等多种格式,...
银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击
2401_84466225的博客
08-04 2074
自2023年上半年“银狐”工具被披露以来,涌现了多个使用该工具的黑产团伙。这些团伙主要针对国内的金融、教育、医疗、高技术等企事业单位,集中向管理、财务、销售等从业人员发起攻击,窃取目标资金和隐私信息。该团伙惯用微信/QQ等即时通信工具、钓鱼邮件、钓鱼网站等途径投递远控木马,钓鱼通常围绕财税、发票、函件、软件安装包等不同主题。鉴于使用该去中心化黑产工具的团伙众多,我们将其统称为“银狐”相关团伙。
【免杀】深入揭秘银狐:利用进程断网技术巧妙绕过360云查杀,窥探其APT化演进之路
4SecNet团队专栏
12-31 1091
在日常工作中,我们深入分析了一起银狐木马的攻击事件,发现该木马套件具备通过特定技术手段中断指定进程网络连接的能力,从而导致防病毒软件云查杀引擎无法正常发挥作用。为进一步了解其实现原理,我们对这一技术进行了全面而细致的研究解剖,深入挖掘其运行机制和潜在威胁。
银狐木马技术原理分析检测技术
最新发布
bdfcfff77fa的博客
11-05 1222
特征银狐V1(2021)银狐V3(2024)持久化位置Run键(HKCU)WMI事件订阅 + AppInit_DLLs注册表值类型REG_SZ(字符串)REG_BINARY(二进制加密数据)加密/混淆无AES-256-GCM加密 + 增肥(>50MB)检测难度易(静态特征明显)极难(需行为建模+内存分析)⚠️ 补充说明:2024年6月起,MITRE ATT&CK框架已将银狐相关行为归类为T1055(数据渗出)、T1112(修改注册表)、T1543(创建或修改系统进程)
[特殊字符] 银狐组织伪装DeepSeek安装包植入木马!你的电脑可能已被入侵!
ob6666的博客
03-04 3734
攻击者向开发者发送伪造的DeepSeek更通知,邮件内附带恶意链接或附件,诱骗用户下载安装。等平台发布“优化版DeepSeek”,暗中植入后门程序,让开发者自行下载中招!,或利用SEO优化,让恶意下载链接排名靠前,诱骗用户下载带毒安装包!:DeepSeek是近年来火热的AI工具,大量开发者下载使用。:攻击AI开发者,可进一步入侵企业、研究机构的核心系统。:利用DeepSeek诱骗AI开发者,潜入高价值系统!:你的项目、API密钥、机密文档将被窃取!:黑客能远程操控你的电脑,执行恶意命令!
‌“银狐木马病毒来袭,这些应对方法一定要看!从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
02-12 2618
银狐”,又名“游蛇”和“谷堕大盗”,是一种专门针对。
记一次实战银狐排查应急
weixin_43960066的博客
03-15 4599
​ 在当今的网络环境中,恶意流量的威胁日益严重,企业面临的网络安全风险也不断升级。某日,客户收到一条来自安全监测平台的通报:一台内部主机资产存在可疑的恶意通信行为。通报指出,该主机的通信流量特征属于银狐木马,且通信端口固定。此类行为不仅可能导致数据泄露,还可能影响整个网络的安全性和稳定性。 ​ 为确认是否存在误报或潜在的安全威胁,立即赶往现场展开深入排查。本次排查的核心目标是:验证恶意流量的真实性、确定其来源及影响范围,并制定有效的应对措施。通过系统化的分析和验证,我们不仅需要判断通报是否准确,还需要确保
银狐木马学习C++异常处理恶意手法
leah126的博客
07-05 1257
带着这个疑问,我们可以对其进行简单的动态调试,经过简单的动态调试会发现当执行retn指令后程序的执行流来到了msvcrt内存空间中,表明是MSVC运行时内部代码区域,在这里经过对eax的一些操作,最终将执行流指向了00401434处的核心代码,因此整个执行流程是合理的也符合沙箱记录的相关API调用序列信息。不断地继续往前回溯发现已经结束了,到此可以确定这些代码属于该恶意文件的核心代码内容,被执行的原因是在其余位置被调用,但我们不用细究这里的细节,因为这不是我们需要关注的核心问题。
解析木马攻击的技术内幕
wangluoanquan111的博客
02-27 1194
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值