“银狐”变"隐狐",最新攻击透视

文章预览

事件概述： 近期毒霸安全团队在日常威胁狩猎过程中发现”银狐“组织正利用搜索引擎推广广告页投递远控后门，该团伙在投放落地页时异常狡猾，这些下载页面 只 会在特定时间，特定ip地域才会激活，其它时候无法打开或下载都是正常投放的推广包，且下载地址和页面域名基本每天都在更换，躲避审查和防止安全人员追踪分析。以下为其中一个投放页面。 下载后样本多以 "安装包_xxx.exe","SETUP_xxx.exe"命名，文件版本信息伪装多个知名软件信息且附加了无效的数字签名。在分析中发现该样本具备高度的隐蔽性、对抗性和复杂性，内部多层次内存加载，涉及各类模块和shellcode接近20个，且多个模块使用vmp加壳并对入口点和导出函数使用指令虚拟化保护，阻止安全人员分析。同时在杀软的特征扫描，模拟引擎，云查，主动防御方面都有规避措施，在技 ………………………………