国内网络安全公司微步在线观测到，自2023年流行的新型黑产“银狐”在近期优化了投递方式：攻击者精心仿冒钉钉、飞书、向日葵等软件官网，并将银狐木马上传至.gov等合法网站，导致下载链接为合法的.gov网站链接，肉眼无法分辨真假，基于URL的检测手段也会失效。

为了对抗查杀，攻击者开始挖掘内核模块漏洞，使用BYOVD、LOLbins等技术致盲安全软件。此外，攻击者还隐藏了与银狐搭配使用的“金蝉”电诈套件所对应的钓鱼网站，只有特定的URL参数才能访问。

微步发现，黑产攻击活动越发频繁，尤其银狐相关样本迭代速度更进一步加快，今年可观测到银狐逐步开始使用一些前沿的APT攻击手法，这些手法所表现的技术水平已经达到一流红队的标准，这也使得在终端上越发难以查杀银狐样本。

目前，微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OnesSandbox均已支持对相关样本的精确检测。

本文为银狐八月攻击活动报告，未来微步还将持续跟踪银狐最新变化。

二、投递手法的更新

银狐的核心投递手法仍以财税钓鱼文件、仿冒软件下载站点等方式为主。为了确保这些样本能顺利落盘，攻击者增加了新的对抗手段，包括但不限于：利用第三方可信网站存放恶意文件，钓鱼网站构造特殊URL格式。

a)利用第三方网站存放恶意文件

在6月底，微步捕获了一批仿冒飞书，向日葵，钉钉等企业员工常用软件的钓鱼网站：

其中下载链接包括：

https://nxdz.******.nx.gov.cn:8012/demo/feishu_setupc.zip

http://o**ss.com:8012/demo/xrk_setupc.zip

http://www.mu***100.com:8012/demo/DingD_setupA.zip

http://wzgl.*****.sh.gov.cn:13580/demo/DingD_setup.zip

通过对相关资产进行拓线，发现黑产团伙同时投递了税务稽查钓鱼文档：

该文档中包含两个链接地址：

其中一个伪造为上海税务局网站，诱导下载银狐木马：

另一个链接地址则直接下载银狐木马，该木马运行后则会通过第三方网站下载加密shellcode来解密执行：

这些被利用的第三方网站部署的系统上都存在kkFileView组件，kkFileView是一个开源的在线文件预览解决方案，支持多种文件格式。该组件在4.2.0版本到4.4.0-beta版本中存在任意文件上传导致远程代码执行漏洞，但是攻击者并没有攻击第三方网站，而是借助该组件的任意文件上传功能来上传恶意文件：

攻击者通过访问 kkfileview组件默认页面上传了带有恶意文件的压缩包，复制链接地址作为对恶意文件的引用和下载链接，这些链接作用分三种：

1.仿冒钓鱼网站上的下载链接

2.银狐木马loader中下载后续载荷链接

3.金蝉钓鱼的中间跳转链接

攻击者通过前两种利用方式保证银狐木马在受害者主机上运行，受害者主机被控之后黑产会通过受害者主机中的IM软件传播钓鱼二维码，二维码链接则跳转到金蝉钓鱼组件，黑产也会通过第三方网站来存放金蝉钓鱼跳转的html：

根据微步情报局的监控拓线，发现近几个月内至少存在30余网站被上传黑产恶意文件，其中包含大学，制造业，政府，民营企业等。这些网站中kkfileview组件通常为其对外提供访问的子系统（如OA，邮件，SCM，ERP等）中引用。因为这些网站域名都具备可信的ICP备案和较长的whois注册时间，有些域名后缀包含gov，edu等，所以这些钓鱼链接会绕过URL安全检测，从而被受害者访问下载。

b)钓鱼网站构造特殊URL

8月，微步情报局检测到黑产投递以“高温补贴”为诱饵的钓鱼文档：

这些文档二维码扫描后URL链接格式为：http://cjsfwl11.com.cn/?s=a8395，其中URL中携带的s参数疑似为分发成员ID，受害者访问该URL链接后访问金蝉钓鱼页面：

值得注意的是，这些钓鱼网站只能通过携带正确的s参数才能访问到最终钓鱼页面，如果直接访问，则返回干扰页面，来阻止分析：

    三、重点-样本免杀手法的更新

微步情报局在8月份捕获以“查阅”，“setup”为关键字的银狐loader样本，样本负责从百度智能云BOS对象存储上下载.net白加黑利用组件，并在loader中通过COM运行mmc.exe来加载释放的.mmc文件，加载时链接同时释放的.html文件，其中html文件中通过JS创建ActiveX对象来调用WMI执行下载的.net白加黑组件。

这一系列的复杂调用最终目的就是为了让loader程序下载并执行后续利用的.net白加黑组件，构造这些调用目的是为了将loader程序和后续的.net白加黑组件中间的执行链“正常化”，也就是将两者之间通过这些微软的白程序进行调用，来对抗EDR的行为检测。

样本分析

  微步终端安全管理平台OneSEC可精准检测并自动拦截恶意文件创建的行为。

微步云沙箱S、沙箱分析平台OneSandbox也均支持该样本的检测。

a)使用BYOVD技术来致盲EDR

8月底，Check Point披露有国内黑产组织使用的银狐木马在利用一个未知的漏洞驱动程序amsdk.sys（WatchDog反恶意软件，版本1.0.600）。该驱动程序基于Zemana反恶意软件SDK构建，具有微软签名，未列入微软漏洞驱动程序阻止列表，且未被LOLDrivers等社区项目检测到。

该loader样本在运行时检测主机系统版本，在Windows 7版本的系统中释放ZAM.exe驱动文件（版本3.0.0.000，基于Zemana反恶意软件SDK程序，是已知含有漏洞的驱动程序），在Windows 10/11版本的系统中释放amsdk.sys驱动文件（版本1.0.600，WatchDog反恶意软件的驱动程序，是未知含有漏洞的驱动程序），在两种不同系统下都能保证利用驱动程序来关闭EDR程序。

微步情报局根据拓线发现，该黑产团伙相关样本可以追溯到今年5月，早期样本释放了aswArPot.sys驱动文件（版本21.1.187.0，为Avast/AVG防病毒软件中的一个驱动程序，存在安全漏洞可以被利用来关闭EDR程序）。

且在WatchDog反恶意软件更新了驱动程序后仍有漏洞，依旧被该黑产团伙在新的攻击活动中使用：wamsdk.sys（版本1.1.100，WatchDog反恶意软件的驱动程序，更新后仍有漏洞的版本）