银狐钓鱼再升级：白文件脚本化实现GO语言后门持久驻留

System-Administartor

2025-12-06 13:28:37

0次

近期，火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现，该样本通过阿里云存储桶下发恶意文件，采用AppDomainManager进行白利用，并借助Python执行恶意脚本下发Go语言后门，最终实现对电脑的后门权限长期维持控制。目前，火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全。

查杀图

一、银狐再升级

历经两年的持续演进，银狐组织（SilverFox）采用的后门程序已从早期的Gh0st、Win0s等传统RAT，发展成了多语言混合版本。

本次捕获的样本采用了Go语言编写，具备信息窃取、命令执行等基础恶意功能。值得注意的是，银狐组织的对抗技术也进行了显著升级：对此次样本的进程链进行分析发现，攻击者已经摒弃了早期依赖内存加载PE文件的方式，而是转用一种"白文件+脚本"的新型利用链——即利用合法XML文件配合Python脚本实施攻击。这种技术演进使得整个攻击过程中无需加载任何恶意PE文件(无任何黑DLL，全文本攻击)，能够有效规避基于ATT&CK矩阵的常规检测手段，最终成功实现Go语言后门的持久化驻留。

而在溯源过程中发现，银狐组织已经能够通过单台服务器实现对上千台终端设备的控制。这些受控设备主要集中在财务、国企、政府等部门。银狐组织利用这些设备，通过企业微信、钉钉等即时通讯平台进一步下发信息，实施诈骗。

银狐

二、样本分析

样本执行流程图如下：

样本流程图

该样本伪装成谷歌浏览器升级程序，并构造过期签名实施钓鱼攻击。

伪造程序

其采用火山软件开发平台(易语言x64版本)进行编写，恶意代码被编译在加密库函数中。

火山远控

该恶意代码会判断进程名称是否为ngjklr1333.exe，如果不匹配则不执行恶意代码。

名称判断

之后，样本生成目录C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因为KeePass.exe是样本后期采用的白利用程序之一，所以样本会先判断环境中是否已经存在KeePass进程，若存在的话，则通过命令行结束taskkill /IM KeePass.exe /F进程。

随后，通过阿里云存储桶获取Python安装包，并构造解压命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。

文件下载

接着，使用Microsoft.XMLHTTP ActiveX控件发起HTTP GET请求，其URL为https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/python312.zip。

Microsoft.XMLHTTP

之后，再次从阿里云存储桶服务器下载恶意利用文件https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/k.zip，并解压文件tar -xf Kp//k.zip -C [user_directory]/Kp。接着，创建进程打开KeePass.exe。