银狐11月总结：手法多到冗余！借系统安全机制反杀杀软

11月，微步情报局监测到有两种全新的技术被银狐首次利用，目前已有近百家单位感染，产生数万次恶意访问请求。第一种是PPL滥用。该技术在8月23日首次公开，并于9月被被迅速利用，可覆盖Windows Defender启动文件，使其无法正常运行。第二种是设置CIP策略。CIP是一种在系统底层配置应用黑白名单的策略，攻击者在指定路径写入配置文件，禁止安全软件运行，防范难度极大。微步情报局发现，银狐应用新技术的速度正在不断加快，从公开到利用仅不到一个月，对防护能力构成了巨大威胁。此外，这批样本几乎穷尽了主流对抗手法，甚至有不少冗余，包括白加黑、动态解密、反射加载、线程池注入等躲避检测，以及篡改防火墙配置阻断联网、BYOVD等破坏杀软和EDR，随后运行远控恶意代码。在传播层面，攻击者主要仿冒“诺诺发票”投递钓鱼邮件，诱导受害者点击邮件内虚假链接，访问AI搭建的钓鱼网站下载银狐木马。有趣的是，除中文之外，微步情报局还监测到了使用印地语（又称北印度语）的网站和样本。目前，微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对这批样本的精确检测。本文为银狐十一月攻击活动报告。微步情报局还将持续发布银狐月度报告，并第一时间跟进解读相关重大攻击事件。样本投递微步情报局观测，在11月初，有客户收到了“诺诺网发票开具成功”为主题的钓鱼邮件：点击“查看/下载电子发票”则会跳转访问到一个明显是AI编写的前端页面：对钓鱼网站的解析IP：149.88.81.151测绘，找到了到早期相对简陋的钓鱼页面：有趣的是，除中文之外，这批发票钓鱼页面，还使用印地语针对印度地区进行传播：且在这个发票钓鱼网站下载的样本也是印地语名称的样本：कर
चालान
रिपोर्ट.rar（税务发票报告.rar）通过进一步同源样本拓线，微步情报局发现了仿冒常见软件官网进行传播的同类样本。云沙箱S、沙箱分析平台OneSandbox已支持精确检测。样本分析这批样本最早能追溯到9月份，在11月份做了一次更新，更新的内容主要是更换了BYOVD使用的漏洞驱动组件，从使用泄露签名的自写驱动ollama.sys更换到了Zemana
Anti-Malware的漏洞驱动zam64.sys（文件重命名为llama.sys）。尽管这批样本的白加黑组件会有略微不同，但主要流程以及对抗技术都明显可以看出属于同一批。此外，尽管早期样本使用了8月23日Zero
Salarium提出的PPL滥用技术来破坏Windows
Defender的完整性，但在11月更新后攻击者删除了这一部分代码。OneSEC可精准捕获攻击行为。线程创建破坏Windows
Defender完整性以下对11月份更新后的样本进行详细样本分析：白加黑rar压缩包解压后内包含一个NSIS打包的安装程序：内有后门程序和一个正常的iTunes安装程序：安装时后门组件会释放到C:\Program
Files\Jausnoubouer\2JRE7pNY\Tl5dnm\目录下：动态解密反射加载axUZaUX8.exe程序加载恶意文件libcef.dll，在libcef.dll的DllRegisterServer函数中会加载解密RXNLi6.21文件：程序会在内存中释放PE文件并进行反射加载：后续加载的PE文件运行后首先进行提权：检查是否具有管理员权限（TokenElevation）若无权限，使用ShellExecuteW以runas方式重新运行自身，同时请求baidu.com获取标准时间：不过，这部分代码目前还没有加入到主逻辑中，而是作为冗余代码使用。线程池注入加载后，会首先遍历杀毒软件进程：检查的杀毒软件进程有：针对360安全卫士的进程360tray.exe，攻击者会采用特殊的关闭手法：首先通过更改防火墙来阻止所有网络通信。然后将shellcode注入卷影复制（VSS）服务相关的进程（
vssvc.exe ）中：检查并赋予自己SeDebugPrivilege令牌随后检查VSS服务是否启动，如果尚未运行，将启动该服务并获取其关联进程（vssvc.exe）的PID：后续使用NtCreateSection创建两个独立的内存区域。然后将这些区域的视图映射到vssvc.exe进程的内存空间中。第一个区域包含一个完整的可移植可执行文件（PE
文件），这是一个具有设备名称的驱动程序。第二个区域包含用于执行调用该驱动程序的shellcode：利用线程池注入技术，通过远程进程中的文件写入触发器来远程执行代码：BYOVD注入的shellcode会调用刚才写入的驱动程序，并用来关闭进程360tray.exe：这里使用的驱动程序为llama.sys（实际为Zemana
Anti-Malware的漏洞驱动zam64.sys）：在早期样本使用的是利用泄露数字签名的自写驱动程序，其PDB地址为：D:VS_Project加解密MyDriver1dReleaseMyDriver1.pdb针对其他杀毒软件的对抗逻辑，不同点主要集中在遍历寻找这些产品的其他进程上：关闭的逻辑则大差不差，写入驱动程序，创建服务加载驱动程序，启动服务：写入并利用的驱动程序还是llama.sys（实际为Zemana
Anti-Malware的漏洞驱动zam64.sys）：下面是针对不同杀毒软件过滤出来的进程名：发送控制码结束指定进程：然后关闭并删除服务：对于Windows
Defender，也是同样操作：PPL滥用在早期样本，针对Windows
Defender程序则使用了一个在2025年8月份由Zero
Salarium提出的一个PPL滥用技术，实现对Windows
Defender中MsMpEng.exe程序完整性的破坏，阻止Windows
Defender的正常运行：首先在C:ProgramDataMicrosoftWindows
DefenderPlatform* 下搜索Windows
Defender的安装文件夹 使用mklink命令创建一个安装文件夹的快捷链接目录：C:ProgramData
oming 最后运行命令C:WindowsSystem32ClipUp.exe
-ppl C:ProgramData
omingMsMpEng.exe，用垃圾数据覆盖MsMpEng.exe冗余代码这个程序也设置了冗余代码，向svchost注入了shellcode：注入shellcode：这里启动shellcode的方式依旧使用线程池注入，只不过是通过SetEvent来触发：写入的shellcode用来关闭杀软进程的：设置CIP策略程序会在C:WindowsSystem32CodeIntegrityCiPoliciesActive{31351756-3F24-4963-8380-4E7602335AAE}.cip下设置CiPolicies策略：CIP策略文件是Windows
WDAC/代码完整性策略的中间格式，用于定义系统允许或禁止运行哪些程序和驱动在这个策略文件中，限制了360rp.exe（360
杀毒实时监控模块）和360sd.exe（360
杀毒主程序）程序的执行，允许火绒的ARPProte.

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-289397.htm

图片怎么看不到

确实看不到图片

图片没有？

huri


图片没有？

抱歉，如果需要查看完整文章，可以访问微信公众号文章链接：ad6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3g2H3c8e0q4K6y4@1f1J5M7e0k6p5d9V1R3@1N6p5W2D9d9f1@1$3e0X3M7`.

shijiheima


确实看不到图片

抱歉，如果需要查看完整文章，可以访问微信公众号文章链接：9eaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3g2H3c8e0q4K6y4@1f1J5M7e0k6p5d9V1R3@1N6p5W2D9d9f1@1$3e0X3M7`.

啊你好哇123


图片怎么看不到

抱歉，如果需要查看完整文章，可以访问微信公众号文章链接：7cfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3g2H3c8e0q4K6y4@1f1J5M7e0k6p5d9V1R3@1N6p5W2D9d9f1@1$3e0X3M7`.