[原创]【银狐木马病毒案例】针对伪装搜狗输入法投毒的银狐木马病毒的深度应急响应排查实录

依托Solar 安全运营响应团队对跨境勒索黑产的深度追踪与攻防复盘，致力洞悉攻击战术迭代，协助政企机构抢占防御高地。我们不只提供资讯，更提供“情报驱动决策，技术终结危机”的实战化解决方案。我们致力于为政企机构构建集“监测预警 - 应急处置 - 溯源取证 - 灾难恢复”于一体的闭环安全防线。突发危机干预通道 若您的核心资产正面临加密锁定或数据勒索风险，请通过文末二维码联系我们。我们提供全天候紧急介入，协助您快速切断攻击链路，全力挽回业务损失。前言：写在分析之前2026年1月19日，Solar 应急响应团队收到客户应急响应请求，其部署的安全设备发出“银狐”木马外联告警。经初步验证确认并非误报，系银狐木马所致。经过询问客户近期软件安装情况，得知终端用户曾直接在搜索引擎搜索并点击下载了一款名为“搜狗输入法”的软件。银狐（Silver Fox）黑产团伙极其擅长利用 SEO 优化伪装主流软件官方下载页面，将恶意程序与正常程序捆绑，等待用户安装时将 Shellcode 释放至受害主机。客户将一个大小为 170MB、名为 sogou_pinyin_guanwang_15.3a.zip 的压缩包发与Solar应急响应团队进行分析。关于此前银狐变种的逆向分析，Solar应急响应团队也曾发布过相关研判，详情阅读：【高危预警】银狐木马攻势升级：从国内蔓延至海外，针对华人与数字资产的精准打击客户提供的伪装病毒样本接下来，Solar应急响应团队将对此银狐病毒样本围绕排查与行为分析、恶意程序分析、病毒处置、结论进行逐一剖析。如在过程中有不同见解，欢迎各位同仁交流指正；如本篇文章能为您提供参考，烦请点赞转发让更多安全从业者看到。一、 排查与行为分析为了还原受害者视角的感染过程，Solar应急响应团队在受控虚拟机环境中打开了该安装包，在不点击“安装”的情况下，观察到样本仅在临时目录产生了一些非恶意的临时文件。安装包启动初期的进程活动随后模拟用户点击安装，并使用火绒剑对系统底层行为进行捕捉。 进程伪装发现： 在安装包解压释放阶段，监控到其异常拉起了一个名为 Verifier.exe 的进程。 值得注意的是，虽然该文件名与 Windows 系统自带的驱动程序验证工具（Verifier.exe）一致，但经哈希比对与签名校验，该文件并非微软官方的系统白文件，而是一个彻头彻尾的恶意程序。攻击者采用“文件名伪装”策略，企图利用管理员对系统文件名的熟悉感产生麻痹心理，从而在初步排查中蒙混过关。样本安装过程中释放文件并拉起程序 Verifier.exe在安装动作结束后，受害主机部署的火绒安全软件触发了告警，并对部分释放的程序进行了查杀。 研判分析： 这一现象表明，银狐团伙的免杀技术并非无懈可击。虽然其外层的 NSIS 安装包和部分经过 sRDI 处理的内存加载行为绕过了静态查杀，但落地的实体文件（如伪装的 Verifier.exe 或明文的配置脚本）仍触发了杀软的特征库或启发式引擎。然而，由于查杀不彻底（仅清除了部分组件，残留了持久化配置），所以需要进一步深度排查。与系统合法进程同名的恶意文件 Verifier.exe 及其关联文件触发杀软告警安装完毕后，进程列表中新增了一个名为 rundll32.exe 的进程，这引起了高度警觉。通过查看其命令行参数，发现了明显的恶意行为特征： "C:\Windows\system32\rundll32.exe" C:\Users\Administrator\AppData\Roaming\Embarcadero\AutoRecoverDat.dll,DllRegisterServer攻击者调用系统工具 rundll32.exe 执行了一个位于 Roaming 目录下、伪装成 Embarcadero 组件的 AutoRecoverDat.dll。这在后续 Shellcode 分析中具有重大意义，是病毒实现持久化的关键一环。进程列表中发现异常的 rundll32.exerundll32.exe 的命令行参数直接指向恶意 DLL 路径随后进一步跟进了这个 rundll32.exe 的任务组，发现它确实与搜狗输入法安装程序存在父子或关联关系，且在后台静默创建和释放了大量文件。rundll32 与样本释放文件的关联分析使用 Everything 工具，追踪到了其释放的一个关键文件：Profiler.json，路径位于 C:\Users\Administrator\AppData\Local。通过 Everything 定位到的异常配置文件 Profiler.json经研判，下图目录中的文件均为样本释放的恶意组件。其中 Profiler.json 并非真正的 JSON 配置文件，而是加密的第一阶段 Shellcode，这将在后续逆向部分详细拆解。恶意 Verifier.exe 与伪装成配置文件的 Shellcode (Profiler.json) 在第一阶段 Payload 执行完成后，安装器继续在 %APPDATA% 以及伪装成开发组件目录的 %APPDATA%\Embarcadero\ 下解密并释放多份文件，最终生成核心恶意 DLL：AutoRecoverDat.dll。 攻击者采用此类命名（Embarcadero 为知名开发工具厂商），目的非常明确：混淆管理员视线，伪装成合法开发组件，从而延长在系统中的潜伏时间。核心恶意组件 AutoRecoverDat.dll 文件属性AutoRecoverDat.dll 所在的伪装目录结构接着，通过网络连接监控发现，该 rundll32.exe 进程正持续连接 IP 地址：137.220.136.191。使用威胁情报中心关联分析，确定该 IP 为银狐组织的 C2 控制端。rundll32.exe 产生的异常外联网络行为威胁情报确认该 IP 归属于银狐组织此外，排查中还发现样本不仅释放文件，还伪装成 .NET 系统服务创建了计划任务以实现开机自启。攻击者使用了 .NET Framework adv v6.0.4232 和 .NET Framework JDAH v7.7 这样极具迷惑性的名称，分别指向了 Verifier.exe 和恶意 DLL 的加载命令。这进一步证实了攻击者的高对抗意图。伪装成 .NET Framework 更新的恶意计划任务列表恶意任务“adv v6.0.4232”指向 Verifier.exe恶意任务“JDAH v7.7”指向恶意 DLL 加载不仅如上操作，安装器启动后，会立即尝试削弱系统的内建防御。它利用 PowerShell 执行高危指令 Add-MpPreference -ExclusionPath，暴力地将 C:\、D:\ 等磁盘根目录加入 Windows Defender 的扫描白名单。 这一动作极其关键：一旦成功，后续释放到这些盘符下的恶意组件（如 Verifier.exe 和恶意 DLL）将彻底脱离 Defender 的实时监控，确保木马能顺利落地并长期驻留。Windows defender中磁盘根目录被加入到排除项二、 恶意程序分析1. 样本基础信息属性详细信息文件名sogou_pinyin_guanwang_15.3a.exe文

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-289935.htm

顶