银狐木马8月新变种：你下载的“免费软件”可能内藏层层陷阱！

近期，亚信安全应急响应中心截获“银狐”木马家族最新变种，该变种通过高度伪装与多阶段隐匿技术实施攻击，具备极强的反检测与持久化能力。攻击者利用钓鱼网站传播伪装为“免会员版WPS”的恶意安装包，诱导用户下载执行，进而实施远程控制与数据窃取。

该变种通过PyInstaller打包的可执行程序，这种打包方式在恶意软件中越来越常见，因为它允许攻击者使用Python这种简单易用的语言编写复杂恶意逻辑，同时能够将整个Python解释器和依赖库捆绑到单个可执行文件中，便于分发和执行。PyInstaller打包的恶意程序还具有一定的规避能力，因为许多安全产品对Python类恶意软件的检测能力相对较弱。

威胁评估

攻击流程

该银狐变种采用了极其复杂的多阶段加载机制，整个攻击链包含至少四个阶段，每个阶段都具有特定的功能并通过精心设计的方式传递到下一个阶段。这种分层架构不仅增加了分析难度，也提高了规避安全检测的能力。

●初始阶段

钓鱼网站传播伪装WPS安装包（实为PyInstaller打包的Python可执行程序）；

●第一阶段

释放多个文件至C:\Users\Public\Downloads，读取隐写MP3提取加密Shellcode；

●第二阶段

AES-CBC解密得Donut生成的Shellcode，检测安全软件进程，注入explorer.exe；

●第三阶段

PowerShell脚本加载Base64加密载荷，再次注入explorer.exe；

●第四阶段

下载远程配置文件，切换C2通信，读取注册表持久化项。

技术细节分析

初始伪装与释放机制

• 伪装手段：样本伪装为免会员版WPS，实际为通过pyinstaller打包的可执行程序。

• 释放文件：解码得到一个loader.pyc主程序、一个MP3文件、多个可执行文件以及一个b64文件（base64加密数据）。

• 释放路径：在python主程序中，其调用copy_to_public_downloads函数将多个可执行文件和b64拷贝到C:\users\public\downloads目录。

Shellcode提取与解密

• 隐写载体：读取资源中的MP3文件作为加密shellcode，使用LSB隐写技术从MP3文件中提取加密数据。

• 数据格式：

1. 前16字节：AES初始化向量（IV）；

2. 接下来16字节：AES密钥；

3. 剩余部分：加密Shellcode。

• 解密算法：AES-CBC模式加密，解密后得到Donut框架生成的Shellcode，编译时间在25年8月（近期编译，表明攻击活跃）。

Shellcode行为

• 反分析机制：检查进程列表，若存在安全软件进程则退出；

• 注入目标：将硬编码Shellcode（大小0xBC8字节）注入explorer.exe；

• C2通信：eijmdixci.cn。

PowerShell载荷

• 持久化机制：

1. 拷贝文件至C:\ProgramData\[随机名称]\；

2. 创建LNK文件指向PowerShell，执行Base64加密脚本；

3. 通过AHK脚本执行lnk文件完成自动运行，绕过UAC提示；

• 脚本解密流程：

1. 将Base64脚本解密，发现其再次解密一段base64加密的payload；

2. 通过申请内存空间加载，进入第三阶段；

3. 在第三阶段payload中，其仍然对explorer.exe进行注入，内容来自其硬编码，大小0xF56D1，进入第四阶段。

远程配置与最终控制

• 下载行为：

1. 访问URL下载文件：http://down.faagazd.com/cc.jpg；

2. 文件实际上是加密Shellcode，与第二阶段结构一致，仅C2不同；

• 新C2信息：

1. 域名：yn.netyouhh.com；

2. 端口：5252；

• 注册表持久化：

1. 尝试读取注册表项：HKCU\Console\hrqnmlb；

2. 若存在，则读取其中payload并注入explorer.exe。

IOC

样本Hash：

181d6060392378ddbb10ea43c3970e002772da33

ATT&CK 技术映射

总结

8月银狐最新变种，代表了当前黑产木马在“免杀+持久化”方向上的高水平实践。其利用Python生态的灵活性、Donut的Shellcode生成能力、以及多层隐写与加密技术，构建出一条极难被传统杀软拦截的攻击链。尤其值得注意的是，其注册表持久化键名“hrqnmlb”为随机字符，表明攻击者已具备对抗威胁狩猎的意识。

针对“银狐”威胁，组织需要采取更加积极和综合的防御策略，结合技术控制、人员培训和流程改进，形成深度防御体系。同时，持续监控威胁情报，及时了解最新攻击手法和IOC指标，也是有效防御的重要组成部分。

通用处置建议

• 全面部署具备智能体系化联动的安全产品，保持相关组件及时更新

• 保持系统以及常见软件更新，对高危漏洞及时修补

• 不要点击来源不明的邮件、附件以及邮件中包含的链接

• 请到正规网站下载程序

• 采用高强度的密码，避免使用弱口令密码，并定期更换密码

• 尽量关闭不必要的端口及网络共享

亚信安全产品解决方案

ATTK是亚信安全研发的疑难病毒检测工具，不仅可以高效收集系统信息，还具备强大的病毒检测和查杀能力。

ATTK银狐专杀工具集成了梦蝶引擎的最新能力，包含10万条以上的启发式规则，机器学习模型和海量的云查杀病毒库。其中，梦蝶云查杀库新增每周350万+病毒样本检测能力，并建立了转向流程将流行样本和银狐木马加入本地特征库。

01

亚信安全勒索治理方案

亚信安全建议通过高级威胁监测与治理产品对客户内网从网络流量、邮件以及文件等容易遭受黑客病毒攻击的维度进行全方位的检测，并通过终端检测与响应EDR进行攻击行为的溯源与验伤，锁定攻击源头与攻击方式。

通过本地威胁情报中心以及统一的安全运营平台基于病毒情报特征进行规则更新，并统一策略下发至云、网、边、端各个安全产品对木马病毒进行拦截阻断，防止病毒在内网环境中的进一步传播。

02

企业文件系统防护方案

针对黑客团伙利用伪造正常业务系统文件传播病毒的情况，亚信安全高级威胁文件沙箱DDAN作为专注于动态检测病毒文件的沙箱产品，可有效检测病毒文件，防护客户企业文件系统安全。

03

企业邮件系统防护方案

针对黑客团伙利用钓鱼邮件传播病毒的情况，亚信安全信桅高级威胁邮件防护系统DDEI作为专注于钓鱼邮件防治的国内TOP级邮件网关产品，对钓鱼邮件的检出与拦截率超过95%，对垃圾邮件的综合过滤率达到99.5%，可有效防治黑客通过邮件的方式传播病毒的行为。

通过邮件网关DDEI的内置沙箱深度分析附件中的木马，通过统一威胁运营平台将有害的附件情报同步到全网终端检测与响应设备实现自动遏制。

联动路径:亚信安全信桅高级威胁邮件网关(DDEI) ==>本地威胁情报中心==>统一威胁运营平台==>终端检测与响应(EDR)

亚信安全建议

亚信安全认为，尽管许多组织已实施网络安全防护措施，但他们仍然遭受勒索攻击。这主要是因为现有的安全策略大多针对传统勒索软件，未能意识到这种攻击形式已演变成一个复杂的侵害网络，并形成了庞大的犯罪产业。许多企业忽视了攻击手法的多样性和发展趋势，导致防御措施难以应对新型威胁。

因此，必须重新审视和升级安全策略，以适应不断变化的网络环境，开启关键日志收集、配置IP白名单规则、进行主机加固、部署入侵检测系统、建立灾备预案，并在遭遇勒索软件攻击时及时断网并保护现场，以便安全工程师排查。