360预警:银狐木马盯上微信!
近期,360 数字安全集团监测发现:银狐木马的最新变种正呈高发态势,将国民级社交应用微信列为核心攻击目标。与普通恶意程序不同,该变种采用 “白加黑” 的隐蔽攻击思路 —— 用户启动微信时看似一切正常,实则木马已通过特殊技术劫持微信进程,悄悄完成系统入侵,进而构建起长期窃取数据、远程控制设备的攻击链条。这波攻击之所以难以察觉,核心是利用了 Windows 系统的 DLL 文件加载机制,且特意选择了 cryptbase.dll、d3dcompiler_74.dll 这两个更隐蔽的系统库文件作为劫持对象,而非传统常见的劫持目标。
攻击者通过钓鱼邮件、捆绑软件等方式,将伪造的恶意文件偷偷放入微信安装目录,一旦用户打开微信,系统会优先加载这些恶意文件,而非正常的系统文件,让微信在不知情中成为木马的 “掩护宿主”。
此举不仅使恶意代码得以规避大量基于白名单的安全防护,还为攻击者提供了稳定的系统立足点,从而能够对受害主机实施长期的远程控制与数据窃取。
利用DLL搜索漏洞劫持微信
构建严密攻击链持续渗透
本次360分析的示例样本路径为:C:\Program Files\Tencent\Weixin\4.1.4.19\cryptbase.dll。该路径下的cryptbase.dll文件本质是Windows操作系统的核心系统库文件,属于Base Cryptographic API的重要组成部分。包括微信在内的众多应用程序在运行时均会调用此文件执行加密、解密或证书验证等关键操作。
在正常的系统环境中,合法的 cryptbase.dll 应位于C:\Windows\System32\与C:\Windows\SysWOW64\两个标准目录。本次攻击能够得逞,关键在于微信在加载该文件时存在的缺陷:当微信主程序 WeChat.exe 启动崩溃检查组件crashpad_handler.exe 时,会尝试加载 cryptbase.dll,但并未指定其完整路径,而是依赖 Windows 系统的默认 DLL 搜索顺序进行查找。
该默认搜索顺序为:应用程序所在目录(即微信安装目录)→系统目录(通常为C:\Windows\System32)→16 位系统目录(通常为C:\Windows\System)→Windows 目录(通常为C:\Windows)→当前工作目录→PATH环境变量所列目录。
显然,在未指定DLL文件绝对路径的前提下,木马所存在的路径是最优先被加载的位置,会先于系统的正常文件被加载,最终完成劫持。
用于劫持的木马DLL文件,首先从其内置数据中解密出一个URL:hxxp://augvertu[.]com/xxxca.txt,随后访问该地址并解析服务器返回的内容。它会提取其中位于#ST#与#ed#标记之间的数据段,先进行Base64解码,再进一步解密为Shellcode。
该Shellcode的内容会被黑客预先用codemark将代码与数据分开。其中,数据区块前部主要为执行参数、条件,以及一些标志位,而后部则是逆序处理过的域名。完成后,木马会再度根据解密出的配置信息进行远程的C2连接。连接成功后,会再度从该C2服务器中拉取所需的加密数据。
获取到的内容经解密后,可执行包括远程控制在内的多种操作,其中也包括上线模块.dll以及登录模块.dll等。为实现隐蔽执行,木马会将合法的 tracerpt.exe 作为宿主进程,通过进程注入方式在其内存空间写入恶意Shellcode,并唤醒其主线程执行该代码。
解密出的远程控制代码
为进一步增强持久性与抗阻断能力,木马还将解密后的恶意代码写入注册表,后续直接从中读取并加载执行,属于典型的“无文件”攻击手法。猜测这一步骤是为了防止对C2服务器的网络访问被阻断,使用本地注册表来保障对Payload的随时调取。注册表中保存的是一段x64反射式DLL加载器,用于在内存中加载黑客指定的程序。
此外,解密得到的另一段Shellcode具备多种信息窃取功能,包括检测敏感软件窗口、获取剪贴板内容和键盘记录等。最后,木马通过远程线程注入技术,将包含截屏、清除系统事件日志、导出函数、加载傀儡进程及检测安全软件等功能的新Shellcode注入系统进程 svchost.exe 中执行。
360终端安全智能体蜂群赋能
全面抵御银狐木马威胁
本次银狐木马新变种通过在劫持对象选择与投放路径上的双重隐蔽设计,显著增强了攻击的穿透力与潜伏性。360建议广大政企机构对此保持高度警惕,并采取针对性防御措施。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360在自研安全大模型的赋能下,将安全专家的能力和经验进行固化,并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点,打造出终端安全智能体蜂群。
为应对此轮银狐木马新变种的攻击,360依托终端安全智能蜂群体赋能的云安全立体防护体系,构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段,该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖,可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测,在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段,比如遭遇掺杂大量干扰文件的多文件攻击,抑或是面对超大文件规避检测的传统伎俩,以及针对加密压缩包和“配置型白利用”等新型攻击方式,该体系皆可依托终端安全智能体蜂群赋能的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,从而实现自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并持续监测其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等,360主动防御对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
在终端处置环节,360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道,为深度清理争取宝贵时间窗口。此外,该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复,也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
据360终端安全智能体蜂群监测,近两年被滥用于攻击的合法软件已达数十款,常见包括IPGUARD、阳途、固信、安在等,360终端安全智能体已支持对此类软件的全面检测与一键清理。
目前,360云安全立体防护体系已经实现对银狐木马病毒的全面查杀,建议广大政企机构尽快部署。
想要了解更多详情
欢迎拨打咨询电话
400-0309-360
来源360数字安全
页:
[1]