银狐钓鱼再升级：白文件脚本化实现GO语言后门持久驻留

System-Administartor

2025-12-06 13:28:37

0次

近期，火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现，该样本通过阿里云存储桶下发恶意文件，采用AppDomainManager进行白利用，并借助Python执行恶意脚本下发Go语言后门，最终实现对电脑的后门权限长期维持控制。目前，火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全。

查杀图

一、银狐再升级

历经两年的持续演进，银狐组织（SilverFox）采用的后门程序已从早期的Gh0st、Win0s等传统RAT，发展成了多语言混合版本。

本次捕获的样本采用了Go语言编写，具备信息窃取、命令执行等基础恶意功能。值得注意的是，银狐组织的对抗技术也进行了显著升级：对此次样本的进程链进行分析发现，攻击者已经摒弃了早期依赖内存加载PE文件的方式，而是转用一种"白文件+脚本"的新型利用链——即利用合法XML文件配合Python脚本实施攻击。这种技术演进使得整个攻击过程中无需加载任何恶意PE文件(无任何黑DLL，全文本攻击)，能够有效规避基于ATT&CK矩阵的常规检测手段，最终成功实现Go语言后门的持久化驻留。

而在溯源过程中发现，银狐组织已经能够通过单台服务器实现对上千台终端设备的控制。这些受控设备主要集中在财务、国企、政府等部门。银狐组织利用这些设备，通过企业微信、钉钉等即时通讯平台进一步下发信息，实施诈骗。

银狐

二、样本分析

样本执行流程图如下：

样本流程图

该样本伪装成谷歌浏览器升级程序，并构造过期签名实施钓鱼攻击。

伪造程序

其采用火山软件开发平台(易语言x64版本)进行编写，恶意代码被编译在加密库函数中。

火山远控

该恶意代码会判断进程名称是否为ngjklr1333.exe，如果不匹配则不执行恶意代码。

名称判断

之后，样本生成目录C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因为KeePass.exe是样本后期采用的白利用程序之一，所以样本会先判断环境中是否已经存在KeePass进程，若存在的话，则通过命令行结束taskkill /IM KeePass.exe /F进程。

随后，通过阿里云存储桶获取Python安装包，并构造解压命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。

文件下载

接着，使用Microsoft.XMLHTTP ActiveX控件发起HTTP GET请求，其URL为https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/python312.zip。

Microsoft.XMLHTTP

之后，再次从阿里云存储桶服务器下载恶意利用文件https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/k.zip，并解压文件tar -xf Kp//k.zip -C [user_directory]/Kp。接着，创建进程打开KeePass.exe。

下载恶意利用文件

KeePass

KeePass.exe是一款开源的密码管理器，在该样本中被用作白利用程序。其通过附带的KeePass.exe.config配置文件实现AppDomainManager注入。

在.NET Framework中，exe.config文件通常被称为“配置文件”，该文件包含控制应用程序行为的信息。部分系统程序集（如System.Xml，System.Data，mscorlib等）的版本号会随着.NET Framework的升级而更新。

该样本解压出的KeePass.exe.config配置文件利用<dependentAssembly>元素实现版本从2.0.9.0-2.57.1.0重定向至2.57.1.16889，从而确保其恶意配置xml文件能够顺利加载。

KeePass.exe.config

KeePass.config.xml配置文件定义了版本号2.57.1.16889，并具备控制KeePass启动行为、语言设置、插件兼容、界面布局、触发器自动操作等行为。其中的触发器（Trigger）设置为自动执行，该触发器触发时，会从远程地址下载恶意代码并解密执行。

KeePass.config.xml

恶意代码会利用第一阶段下载的Python文件，通过Python代码实现异或与base64解密，进而自动执行解密后的恶意代码。

Python代码

解密后的代码是一个后门Python脚本，它会下载伪装成图片的远程恶意可执行文件，并在系统中创建多个具有计划触发功能和高权限（SYSTEM/Administrators）的计划任务，以实现后门持久化。它还会利用注册表和系统任务文件清除机制来隐藏计划任务：

task1 下载Go后门
task2 创建计划任务
task3 计划任务结束KeePass
hidden_task 修改注册表隐藏计划任务

下载后门

创建计划任务

计划任务结束KeePass

隐藏计划任务

tmux.jpg是一个Go后门木马文件，通过WebSocket进行通信。该木马首先会收集电脑信息和杀软环境信息。

获取电脑基本信息

之后，通过WebSocket与C2服务器进行通信（C2服务器地址为fourier.ali-cloud.top:8055）。

C2配置

分析发现，该后门具有以下功能。

后门功能

0x3 CMD/Shell命令。

CMD/Shell命令

0x4 屏幕截图、获取浏览器数据。

屏幕截图、获取浏览器数据

0x6 代理功能。

代理功能

0x7 获取Telegram密钥。

备份Telegram

0x8 获取getxshell密钥。

获取getxshell 密钥

0xB 文件搜索。

文件搜索

0xC 上传文件。

上传文件

0xD 删除文件。

删除文件

0xE 下载文件。

下载文件

三、附录

C&C:

HASH:

上一篇：流氓联盟欺软怕硬，多链路恶意推广

下一篇：远控服务器孕育Node.js恶意脚本，依托以太坊完成远程操控

免责声明

本站为个人博客，博客所发布的一切破解软件、补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。

本站所有内容均来自网络，版权争议与本站无关，您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容，如有需要，请去软件官网下载正版。

访问和下载本站内容，说明您已同意上述条款。

本站为非盈利性站点，不贩卖软件，不会收取任何费用，所有内容不作为商业行为。

正在初始化播放器，请稍后

.social-panel-container { position: fixed; right: 0; bottom: 80px; transform: translateX(100%); transition: transform .4s ease-in-out } .social-panel-container.visible { transform: translateX(-10px) } .social-panel { background-color: #fff; border-radius: 16px; box-shadow: 0 16px 31px -17px rgba(0, 31, 97, 0.6); border: 5px solid #001f61; display: flex; flex-direction: column; justify-content: center; align-items: center; font-family: 'Muli'; position: relative; height: 169px; width: 370px; max-width: calc(100% - 10px) } .social-panel button.close-btn { border: 0; color: #97a5ce; cursor: pointer; font-size: 20px; position: absolute; top: 5px; right: 5px } .social-panel button.close-btn:focus { outline: 0 } .social-panel p { background-color: #001f61; border-radius: 0 0 10px 10px; color: #fff; font-size: 14px; line-height: 18px; padding: 2px 17px 6px; position: absolute; top: 0; left: 50%; margin: 0; transform: translateX(-50%); text-align: center; width: 235px } .social-panel p a { color: #ff7500; text-decoration: none } .social-panel h4 { margin: 20px 0; color: #97a5ce; font-family: 'Muli'; font-size: 14px; line-height: 18px; text-transform: uppercase } .social-panel ul { display: flex; list-style-type: none; padding: 0; margin: 0 } .social-panel ul li { margin: 0 10px } .social-panel ul li a { border: 1px solid #dce1f2; border-radius: 50%; color: #001f61; font-size: 20px; display: flex; justify-content: center; align-items: center; height: 50px; width: 50px; text-decoration: none } .social-panel ul li a:hover { border-color: #ff6a00; box-shadow: 0 9px 12px -9px #ff6a00 } .floating-btn { border-radius: 26.5px; background-color: #001f61; border: 1px solid #001f61; box-shadow: 0 16px 22px -17px #03153b; color: #fff; cursor: pointer; font-size: 16px; line-height: 20px; padding: 12px 20px; position: fixed; bottom: 20px; right: 20px; z-index: 999 } .floating-btn:hover { background-color: #fff; color: #001f61 } .floating-btn:focus { outline: 0 } .floating-text { background-color: #001f61; border-radius: 10px 10px 0 0; color: #fff; font-family: 'Muli'; padding: 7px 15px; position: fixed; bottom: 0; left: 50%; transform: translateX(-50%); text-align: center; z-index: 998 } .floating-text a { color: #ff7500; text-decoration: none } /* 确保代码块正确换行 */ .code-block-wrapper pre code { white-space: pre-wrap !important; word-break: break-all !important; word-wrap: break-word !important; } /* Markdown内容样式增强 */ .markdown-content pre { background: #f6f8fa !important; border-radius: 8px !important; padding: 16px !important; overflow-x: auto !important; margin: 1em 0 !important; } .markdown-content code:not(pre code) { background: #f1f3f4 !important; padding: 2px 6px !important; border-radius: 4px !important; font-size: 0.9em !important; }

人生倒计时

今天已过去 20 小时

84%

本周已过去 2 天

28%

本月已过去 26 天

86%

今年已过去 8 个月零 26 天

66%

离春节还有137天4时

62%

银狐钓鱼再升级：白文件脚本化实现GO语言后门持久驻留

相关内容

热门资讯

免责声明

正在初始化播放器，请稍后

人生倒计时