最近，火絨威脅情報系統(tǒng)監(jiān)測到，又有后門病毒偽裝成“企業(yè)補貼政策名單.msi”“12月稽查稅務.msi”等誘導性文件在微信群聊中相互傳播。用戶下載運行該文件后，病毒會被激活并釋放多個惡意文件，添加計劃任務，遠程控制受害者的終端等，對用戶構成較大的安全威脅。

用戶反饋情況

經過火絨安全工程師確認，該后門病毒為“銀狐”木馬的新變種，具有更強的對抗性和隱蔽性。溯源排查發(fā)現，該類病毒近期偽裝的相關文件名如下：

偽裝文件名

此前，火絨已披露“銀狐”木馬呈現變種增多趨勢，且采取更多方式對抗安全軟件的查殺。火絨工程師再次提醒大家時刻注意群聊中發(fā)送的陌生文件（后綴.msi/.rar/.exe/.chm/.bat/.vbs），如有必要先使用安全軟件掃描后再使用。目前，火絨安全產品可對上述病毒進行攔截查殺，請用戶及時更新病毒庫以進行防御。

查殺圖

一、樣本分析

第一階段：

以 "企業(yè)補貼政策名單.msi" 為例，用戶雙擊該 msi 文件進行安裝后其會執(zhí)行一系列相關進程，其中以 "CNM.exe" 和 "erp.exe" 為執(zhí)行主體：

進程執(zhí)行圖

病毒樣本會釋放多個文件在 "C:\Windows\HAHA" 目錄下，其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身，是一個文件頭和主體分離的 16 進制文本（分離用于免殺操作）。樣本會通過 bat 文件進行拼接，并繼續(xù)執(zhí)行拼接后的 "exe" 文件。

目錄相關文件

"CNM.exe" 內部執(zhí)行過程中會加載同目錄下 "opl.txt"，后者是一個加密過的用于計劃任務的相關代碼文件，解密算法如下所示：

opl.txt 相關

寫入的計劃任務用戶啟動下一階段的主體文件 "erp.exe"，這是一個用于與 C2 進行通信的關鍵文件：

寫入的計劃任務

隨后樣本連接托管的服務器，下載下一階段需要使用的 "libcurl.dll"，這是一個 "shellcode" 相關的加載器：

火絨劍執(zhí)行圖

第二階段：

erp.exe 是一個白文件，樣本使用白加黑的方式規(guī)避殺軟查殺。其會加載同目錄下 "libcurl.dll"，后者會加載同目錄下 "xo.had" 進行解密并作為回調函數加載執(zhí)行：

libcurl.dll 加載圖

解出來的代碼使用了包括代碼動態(tài)生成及多層混淆等手段用于躲避查殺：

代碼縮略圖

在分析的過程中發(fā)現其在 "Services" 服務項中注冊了 "Rslmxp nnjkwaum" 目錄，并設立 "ConnentGroup" 鍵，該健是用于統(tǒng)籌連接用的 C2 IP 及標識相關進程使用的。

注冊表設立

要連接的 "C2 IP" 是以硬編碼的方式存在于樣本中的，"IP" 和前面設立注冊表項會拼接在一起，創(chuàng)建一個標識特定連接 IP 的互斥體：

互斥體創(chuàng)建

最后樣本會單獨開啟線程進行通信相關操作，連接建立后會在循環(huán)中監(jiān)聽信息，后續(xù)操作均可以插件的形式下發(fā)，以此進行遠控和保持配置更新：

通信相關操作

溯源分析：

值得注意的是，以 erp.exe 部分為主體的進行區(qū)分，該類樣本早在 3 月份就被相關技術論壇發(fā)現及上傳，后續(xù)發(fā)現的相關樣本都是其免殺對抗的升級版本：

VT 檢測圖

主體文件中 "erp.exe" 所使用的偽造的數字簽名和文件信息也在相關“銀狐”分析報告中被提及，回顧整個攻擊的 "TTP" 和針對的人群（財務類人員），種種證據表明這又是一起“銀狐”代表的攻擊事件：

相關偽造證書

二、附錄

C&C：

HASH：