山石安全能力中心｜山石云沙箱新技术助力“银狐”木马自动检测

山石云沙箱新技术助力“银狐”木马自动检测

引言

近期，山石安全能力中心在批量样本分析过程中成功识别并准确报告了多例“银狐”木马样本。得益于云沙箱的新分析引擎与检测技术的引入，山石云沙箱已可以实现针对银狐家族的全自动化检测与精确判定。

本文将以某个捆绑银狐木马的“易歪歪”安装包为例，演示从样本投递到行为判定的完整检测流程。

分析过程

此次分析的样本是一个Microsoft Installer安装包，如下图：

通过山石云沙箱的静态检测引擎，可以直接解析出该MSI安装包的基本信息如下：

解析出的信息显示安装包的制作者为“MonKeyDu”。经常分析银狐木马的技术人员可能都知道，有很多捆绑了银狐的安装包——诸如Chrome、火绒、Let’sVPN安装包等多个捆绑银狐木马的样本，均出自“MonKeyDu”之手。因此，基于这一关联特征，当样本中检测到“MonKeyDu”标识时，即可推断其大概率为银狐木马家族成员。

多个样本中发现的Author名称如下：

山石云沙箱的静态检测引擎不仅能提取安装包的基础元信息，还可以进一步解析出其中包含的文件。通过这种方式，安全分析人员无需动态运行样本，即可直接对安装包内置文件进行独立分析。以本次样本为例，易歪歪安装包中包含两个可执行文件：

从命名和常见的恶意捆绑手法我们很容易推测，安装程序可能在前台正常执行名为YiwaiwaiProVersion144.exe的程序，同时在后台暗中启动疑似银狐木马的scovvh.exe。

那实际情况到底如何呢？我们可以通过山石云沙箱的动态分析进行验证。将样本投递到沙箱后可以看到样本行为首先触发了云沙箱关联行为分析的Dropper类木马检测规则，引擎返回的结果显示：

安装进程确实释放并运行了scovvh.exe。那么这个scovvh.exe又做了哪些操作，到底是不是银狐木马呢？

接下来，云沙箱关联行为分析引擎发现scovvh.exe会执行shellcode：

由于shellcode执行与JIT（Just-In-Time）代码执行在行为层面上存在相似性，云沙箱在检测到可疑的shellcode行为后，会继续对相关内存区域即0x00000000007F0000处内存中的代码进行深度分析。云沙箱对可疑内存进行了字符串分析后，识别出属于银狐木马配置的字符串：

由此可以确认，scovvh.exe确实执行了银狐木马的shellcode。进一步的基于语义的shellcode代码检测结果还显示，该样本包含API搜索、反射加载、堆栈字符串等典型的恶意shellcode代码结构：

综合这些证据，山石云沙箱最终可以给出如下判定结果：

从以上分析可以看出，山石云沙箱在核心架构中引入了多项创新分析引擎，显著强化了对复杂威胁样本的识别与处置能力，具体表现在：

• 静态分析引擎：具备对多种常见文件格式的深度解析能力，能够穿透文件的多层次结构，精准提取并检测隐藏的恶意代码与静态特征，大大提高了检测效率。

• 基于关联行为的动态分析引擎：能够根据行为主客体将多个行为进行关联分析，从而精准检测进程注入、权限维持、勒索加密等行为。克服了单点检测易被绕过、而泛化行为检测误报率高的固有缺陷。

• 基于语义的shellcode代码分析引擎：超越传统的基于二进制字符串模式的特征码匹配，通过理解代码的“意图”来识别shellcode。能突破常见的代码混淆、指令重排、垃圾代码填充等逃逸技术，有效应对零日攻击场景。

总结

通过对捆绑银狐木马的“易歪歪”安装包的自动化检测与分析，可以清晰看到，山石云沙箱在引入静态解析引擎、关联行为分析引擎及语义级 shellcode 分析引擎后，实现了从文件元信息提取、内置文件分析，到行为链还原与内存代码语义解析的完整自动化闭环。该能力不仅显著提升了对家族化木马的检测效率与准确率，也在无需人工介入的情况下完成了复杂威胁样本的证据链构建，为恶意代码检测提供了可信、可复核的技术依据。

山石安全能力中心持续追踪“银狐”恶意样本最新活动，深入分析其传播手法、C2 通信机制，不断增强威胁情报库、沙箱行为分析引擎、 AI检测模型的能力，为山石全系列网络安全及终端安全产品赋能，提升对“银狐”及其变种的检测与响应能力，全方位加固客户侧纵深防御体系。

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。