银狐病毒 C2 通信与持久化分析:从 4 个 C2 地址到 3 种自启动机制的追踪

银狐病毒 C2 通信与持久化分析:从 4 个 C2 地址到 3 种自启动机制的追踪 银狐病毒C2通信与持久化机制深度解析从流量特征到驻留对抗1. 威胁背景与样本概况在近年来的网络安全威胁格局中银狐病毒家族以其高度模块化和持续演变的对抗能力成为企业网络环境中的顽固威胁。根据多家安全厂商的监测数据该病毒主要通过钓鱼邮件、恶意广告和软件供应链污染等方式传播尤其擅长针对金融、电商行业从业人员发起定向攻击。本次分析的样本呈现典型的多阶段加载特征初始载体经过数字签名的MSI安装包SHA256: ad372f749c79d0e4fbb1a4f0ce8b499e释放链条ee.exe → shellcode → 白文件恶意DLL → ffff.pol → ffff.lop最终载荷具备完整C2通信能力的远控模块内存加载无文件落地值得关注的是样本在2024年的变种中新增了三项关键技术基于ALPC的进程注入技术PoolParty变种利用合法驱动漏洞结束安全进程TfSysMon漏洞利用多层嵌套的ShellCode混淆OLLVM自定义虚拟化指令2. C2通信架构与流量特征2.1 通信协议解析样本采用分层加密的通信协议栈其网络交互可分为三个关键阶段连接建立阶段# 解密算法伪代码基于样本中的XorDecryptByteContainer def decrypt_c2_config(ciphertext, timestamp_key): key struct.pack(I, timestamp_key) # 使用PE文件时间戳作为密钥 return bytes([c ^ key[i % 4] for i, c in enumerate(ciphertext)])数据传输阶段初始握手RC4加密的Session ID交换指令传输AES-256-CBC加密的Protobuf格式数据心跳机制每300秒发送0xAA标志位流量特征对比表特征项早期版本本次样本检测规避手段默认端口7000/TCP443/TLS伪装HTTPS流量DNS请求硬编码域名DGA算法生成每日更换C2域名数据包间隔固定300ms随机100-800ms规避时序分析证书指纹自签名证书盗用Lets Encrypt证书证书透明度绕过2.2 多C2切换机制样本内置了三组C2服务器配置通过ffff.lop文件中的偏移量动态获取偏移量类型示例值激活条件0x180主C2 IP43.139.21.174:7000首次连接0x4dd48备用C2 IP15.197.148.33:7063主C2超时3次0x1a0域名C2uiekjxw.netIP连接全部失败实际流量分析中发现样本会优先尝试连接主C2失败后依次轮询备用节点。每个连接会话持续约17分钟随后主动断开并更换通信通道。3. 持久化驻留技术剖析3.1 自启动机制实现样本通过三重互备的持久化方案确保长期驻留1. 服务创建高级别权限[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSvcHost] Typedword:00000010 Startdword:00000002 ImagePathC:\Windows\Temp\svchost.exe -k netsvcs2. 计划任务用户级别!-- 任务调度器XML配置片段 -- Triggers LogonTrigger Enabledtrue/Enabled UserIdS-1-5-18/UserId /LogonTrigger CalendarTrigger StartBoundary2024-*-*T08:00:00/StartBoundary ExecutionTimeLimitPT0S/ExecutionTimeLimit Enabledtrue/Enabled ScheduleByDay DaysInterval1/DaysInterval /ScheduleByDay /CalendarTrigger /Triggers3. 注册表劫持隐蔽启动# 修改文件关联的调试器参数 Set-ItemProperty HKCR:\txtfile\shell\open\command (Default) C:\ProgramData\Microsoft\Windows\notepad.exe %13.2 防御对抗技术样本集成多种反检测手段形成立体化防御体系进程保护方案互斥体检测Global\{A30BD1B1-CB43-4604-86F5-56594AEE26A3}父进程欺骗伪装为explorer.exe子进程线程注入监控定期检查Edge导出函数内存完整性安全软件对抗// 样本中的安全进程检测代码片段 const char* av_processes[] { 360tray.exe, 360sd.exe, msmpeng.exe, securityhealthsystray.exe, HipsTray.exe }; BOOL CheckAVProcess() { PROCESSENTRY32 pe; HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (Process32First(hSnapshot, pe)) { do { for (int i 0; i 5; i) { if (strcmp(pe.szExeFile, av_processes[i]) 0) { TerminateProcess(OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID), 0); } } } while (Process32Next(hSnapshot, pe)); } CloseHandle(hSnapshot); }4. 检测与处置建议4.1 流量检测规则YARA规则rule SilverFox_C2_Communication { strings: $c2_pattern { 68 [4] 00 00 68 [4] 00 00 68 [4] 00 00 68 [4] 00 00 6A 01 6A 02 FF 15 ?? ?? ?? ?? } $xor_decoder { 80 [0-4] 30 [6A-6F] | 32 [0-4] 05 [0-4] C3 } condition: any of them }Snort规则alert tcp any any - any 443 ( msg:Potential SilverFox C2 Traffic; flow:established; content:|AA BB CC DD|; depth:4; content:|FF EE DD CC|; distance:20; metadata:service https; sid:1000001; rev:1; )4.2 主机端清除步骤终止恶意进程Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match ee.exe|ffff.pol } | ForEach-Object { Stop-Process -Force -Id $_.ProcessId }清除持久化项# 删除服务项 sc delete WinSvcHost # 清理计划任务 schtasks /delete /tn WindowsEvent_Task /f # 恢复注册表 reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v GoogleUpdate /f文件系统清理# 样本常用释放路径清单 clean_paths [ C:\\ProgramData\\ee.exe, C:\\Users\\Public\\ffff.pol, C:\\Windows\\Temp\\ranchserv.jpg ]5. 防御体系构建建议针对银狐病毒的防御需要分层实施网络层防护部署TLS流量解密设备检测异常证书建立C2域名/IP威胁情报实时阻断机制对出向连接实施速率限制每分钟不超过3次新连接终端防护增强# 启用攻击面减少规则 Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled内存防护方案启用受控文件夹访问CFA配置AMSI扫描所有PowerShell脚本实施用户态API调用监控特别是VirtualProtect权限变更在实战中发现银狐病毒对Windows Defender的排除路径设置具有特殊偏好建议定期检查以下注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths