"银狐"变种: 技术分析揭穿病毒多层混淆虚拟化伪装

数字世界的暗流涌动之中,新型恶意代码的迭代从未停止,“银狐”系列木马变种正以隐蔽之态渗透各类终端设备。银狐于2020年首次现身,截至目前,其发展态势已渐趋复杂,攻击手段更为强劲。银狐及其源代码的二次售卖在地下灰色世界已经形成"产业链",近年来不断进化、高频出现,为终端安全防护工作敲响了警钟。

      它通过不断升级自保手段,利用“免杀”技术躲避安全软件的检测,从而得以在用户设备中长时间潜伏。其变种代码结构经过不断精心伪装,不仅具备传统的窃取信息、远程控制等功能,相对于银狐最开始出现时,还增加了防御的难度。已对个人用户、企业的终端安全构成了严重威胁,需引起高度重视并采取有效应对措施。
      经火绒安全工程师的深度逆向分析,这批“银狐”变种木马的特性逐渐明晰。它们不仅具备精准的沙箱检测能力,该恶意样本还使用了OLLVM（基于LLVM架构的代码混淆工具）和VMProtect（软件保护系统）对自身进行基于代码变异、虚拟化原理的保护,增加了对其分析的难度。通过篡改进程权限、干扰防护机制等方式削弱设备防御能力。这类银狐变种运用漏洞驱动TrueSight突破防护壁垒,关停杀毒软件核心进程,为后续攻击扫除障碍。
      目前,火绒安全产品可有效对此类银狐变种拦截查杀,建议广大用户及时更新火绒病毒库以提升防护能力。目前,火绒安全产品可有效拦截查杀上述病毒，建议广大用户尽快更新火绒最新版本,提升防护能力。

火绒查杀图

 该样本总体上来说攻击方法相比较之前的银狐样本并未有太大改变, 在往期分析报告中也分析到过与本文样本行为相似的恶意样本, 地址在参考文章中。———附录：参考文章[5]

       与往期分析报告不同的是, 本文样本的代码混淆强度和方式得到了明显提升, 这背后可能对应着一条完整的"免杀"产业链。在"黑客"群体中, 有这样一种人: 其掌握着对代码进行混淆、变异等各种手段欺骗安全软件使其对原本"报毒"的样本不再报毒的手段, 专门通过为其他人的病毒提供"免杀"服务来谋取利益。

       但是只要代码还需要被二进制化执行, 就一定可以被分析。其考验安全从业人员的功底, 也意味着安全软件的自动化分析流程不断面临新的挑战。

附录

参考文章:

[1] 成熟后门在野外“泛滥”,加载 Rootkit 对抗杀软-技术文章-火绒安全

[2] SMS短信验证服务或存风险,小心账号隐私“失守”-技术文章-火绒安全

[3]防守实战 | 蜜罐反制之信息收集木马逆向分析 - FreeBuf网络安全行业门户

[4]摩诃草APT组织最新漏洞攻击样本分析 - 安全内参 | 决策者的网络安全知识库

[5] 反沙箱与杀软对抗双重利用,银狐新变种快速迭代-技术文章-火绒安全

[6] DEC/RPC协议与Windows服务创建浅析(银狐原始进程隐匿方式之一）-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

[7] Telegram汉化暗藏玄机,悄无声息释放后门病毒-技术文章-火绒安全

HASH:

C&C: