渾水摸魚：模擬鼠標點擊，構造合法執行鏈路加載惡意代碼

偽裝成“xx聊天記錄”的母體樣本被用戶雙擊后，會釋放三個文件：

• vbn.exe是一個模擬鼠標點擊程序，非惡意；
• adta.exe是一款帶有合法簽名的某股票軟件；
• libcef.dll是一個惡意dll文件；

目前部分終端安全產品在行為檢測上的信任邏輯依靠有效的文件簽名，而在這一攻擊手法中，“銀狐”正是利用了白程序（有合法簽名的某股票軟件）特性，偽裝成一個合法的進程鏈路。具體執行如下圖所示：

1. 名為“xx聊天記錄.exe”的母體樣本首先執行vbn.exe；
2. vbn.exe模擬鼠標點擊動作，讓Explorer程序啟動adta.exe；
3. adta.exe程序加載有惡意代碼的libcef.dll文件；
4. adta.exe將惡意代碼注入svchost執行。

手法總結 …

“銀狐” 成功構造了一整條“白利用鏈路”，從而可以輕松繞過殺毒主防和EDR的檢測。而且利用模擬鼠標點擊，讓Explorer執行的方式更不容易追溯到原始惡意進程。

李代桃僵：利用微軟官方程序啟動程序加載惡意代碼

與手法1有些類似，偽裝的母體樣本同樣會釋放三個文件：

• helpPane.exe是微軟官方提供的幫助程序；
• adta.exe是一款帶有合法簽名的某股票軟件；
• libcef.dll是一個惡意dll文件；

與手法1不同的是，利用微軟官方程序替代了模擬鼠標點擊程序。母體樣本在釋放文件后，會調用COM組件中的冷僻接口，通過操作系統自主啟動HelpPane.exe程序，然后再執行類似手法一的進程，如下圖所示：

手法總結 …

與手法1相比，手法2通過COM組件替代模擬鼠標點擊，利用操作系統來啟動HelpPane.exe程序，構造了一條“合法”鏈路，相較于Explorer這種常見進程更具迷惑性。而且利用com組件的方式更不容易追溯到原始惡意進程。

瞞天過海：圖片暗藏惡意代碼實現無文件攻擊

這是無文件攻擊的一種常見實現，母體程序是一個Go語言編譯的程序，誘導用戶點擊之后，惡意程序會首先訪問C&C，并下載一張圖片，然后將圖片加載到內存中。用戶看到的就是一張圖片（不影響圖片的正常顯示），而實際上，攻擊者使用一些算法將數據嵌入到了圖像中。

反連C&C后下載的圖片，惡意代碼就隱藏其中

之后Go語言程序會在內存中將此圖片解密，釋放出惡意代碼，并創建計劃任務實現開機啟動。

被微步抓到的內存中解密惡意代碼過程圖

手法總結 …

在整個過程中，Go語言程序并不存在惡意代碼，所以殺軟無檢出；惡意代碼實際從下載的圖片中動態獲取，整個過程無任何惡意文件落盤，所有操作均在內存中處理完成，成功繞過了絕大多數的殺毒引擎，并通過計劃任務達到持久穩定運行的目的。

包藏禍心：加密文件內存中釋放惡意代碼  

母體程序利用簽名偽造技術將自身偽裝成正常程序，盡管這個程序的簽名是無效的，但因為并不包含惡意代碼或惡意特征，所以大多數殺軟都不會告警。運行這個程序會釋放三個文件：

• AvSHpPsh.exe是一個無惡意代碼/特征的執行程序；
• Antikk.dll是一個無惡意代碼/特征的dll文件；
• xm.xml是一個加密文件。

母體文件會首先執行AvSHpPsh.exe程序，并加載Antikk.dll文件，然后在內存中解密xm.xml文件，執行payload：

未解密的內存代碼

解密后的內存代碼

手法總結 …

在這一攻擊手法中，盡管惡意代碼在本地，但以加密形式存儲，不存在任何可疑特征，殺軟幾乎無法檢出。AvSHpPsh.exe程序在內存中加載并解密運行惡意代碼，同樣可以輕松繞過殺軟與EDR。

可以看到，“銀狐”團伙使用的四大繞過手法均各有高明之處，那么如何在終端上破解？

# EDR如何應對“銀狐”攻擊 #

讓終端安全止于終端

在3月27日的分析報告中，微步公布了“銀狐”攻擊相關的IOC與TTPs，本文則從終端角度切入，借助微步終端安全平臺OneSEC，為大家展現“銀狐”的應對之法。

從防范角度，可以將“銀狐”的4種攻擊手法分為兩類：

手法一和手法二使用的規避手法都是通過偽裝白利用等方式執行，以此繞過了殺軟和大多數EDR的行為檢測。OneSEC 使用單點+事件的兩階段檢測方式，不僅檢測行為，還將行為串聯，從事件角度整體檢測，雖然表面看起來是“合法”鏈路，但綜合其特殊的執行鏈路和注入方式，就會被OneSEC識別檢出，檢出圖如下所示：

銀狐攻擊團伙行為檢出圖

手法三和手法四，從技術角度看，利用了圖片暗藏惡意代碼、加密惡意文件等方式，但都會經歷內存解密、反射加載兩個階段。對于這兩種攻擊手法，OneSEC 利用 IOA 引擎和內存掃描的組合拳能實現有效檢出：

實際上，除了OneSEC之外，微步旗下的威脅感知平臺 TDP 、威脅情報管理平臺 TIP 、威脅情報云 API 、互聯網安全接入服務 OneDNS 、主機威脅檢測與響應平臺 OneEDR 等均已支持對此次攻擊事件和團伙的檢測。