“银狐”组织仿冒毒霸下载页投递Farfli远控-夜雨聆风

“银狐”组织仿冒毒霸下载页投递Farfli远控

近期有用户反馈发现有仿冒的”金山毒霸”官网，经过安全团队的深入分析，发现这是一起由”银狐”组织投放的仿冒的下载页面，实际下载文件为远控木马。https[:]//pc-duba[.]com[.]cn/ 网址和页面有高度的迷惑性。

该样本属于银狐组织常见的多阶段下载器/加载器链路，入口样本通过多层 shellcode 自解密、强反沙箱门控和安全产品对抗，从阿里云 OSS 拉取多组加密组件，最终释放并加载Farfli远控。相关核心组件全部经过VMP高强度加壳，并对入口点和导出函数进行全虚拟化保护。

攻击链总览

母体样本

从仿冒下载页下载的母体样本名称 “zinstaller-8t533005.exe” 由zip打包。PE入口经过混淆会从.data段读取数据并解密成第一段shellcode执行，该shellcode继续解密内嵌载荷作为第二段shellcode执行，使用 20 字节循环 XOR key：”4@e!c!bSL2AeimnwyD4x“

第二段shellcode主要是下载器/安装器，它在联网前执行大量环境门控

ETW干扰:补丁ntdll!NtTraceEvent
反沙箱：ntdll导出表函数特定hash检测 0x70CE7692、0xD4CE4554、0x7A99CFAE
时序检测: Sleep、QueryPerformanceCounter、GetTickCount64、RDTSC
API 检测:pid.dll!DllGetClassObject 返回值校验
资源检测: VirtualAllocExNuma, CPU 核心数、大内存分配
检测并干扰多款 AV/安全产品，尤其针对 360。
通过 PowerShell 添加广泛的 Windows Defender 排除路径。

检测后从母体的PE文件搜索特定标记位”*/&” 复制数据做解码和拼接处理下载以下组件并保存到本地，

再向指定注册表”HKLM\SOFTWARE\JDBCC” 写入加密的C2通讯信息，用于后阶段配置远控模块。 s.jpg模块是Rpc注册计划的功能模块，不落地在内存加载后导出函数”VirtuOne”外部代码使用。随后将下载的组件1添加到计划任务，如果检测到QQPCRTP.exe 则直接创建进程执行组件1，如是其它杀软直接强制重启设备，在下次重启时得到执行。

落地组件1

组件1是一组dll劫持利用, 劫持模块UxEnhance64.dll使用vmp加壳, 加载后在入口处对同目录的下的msadox.tb 的文件进行解密处理得到shellcode（算法rc4）, 随后直接覆盖到主模块的OEP入口处，在主进程模块被调度时执行。

这段shellcode是内存装载loader，继续读取和解密目录下的adoresd.dat 文件，调用导出函数“DelegateEnSerialization”，该模块同样VMP加壳，模块内部继续对抗杀软，并下载后阶段组件2。内置213个杀毒进程名，加载前阶段下载的”C:\Windows\Temp\ranchserv.jpg“漏洞驱动对进程进行终结，此外还会释放CI策略文件到系统目录“C:\Windows\System32\CodeIntegrity\SiPolicy.p7b”再刷新系统策略生效。

策略文件配置了阻止世界主流安全软件的进程启动和目录程序启动

下载后阶段组件2 分两步

先下载shellcode drops.jpg 执行，再下载f.dat配置文件，再根据配置文件继续下载后续文件。再判断配置中的魔术值会释放到“C:\Program Files (x86)\<随机名>” 或者 C:\Users\Public\<随机名>。这个过程中会继续检测安全软件，例如检测到360会弹窗诱导用户关闭。最后使用ShellExecuteExA以管理员权限启动

此文件版本与正在运行的360安全卫士或360杀毒软件虚拟化技术冲突，请退出正在运行的360安全卫士或360杀毒，等待360安全卫士或360杀毒完全退出后点击确定以获得暂时的支持，或联系软件发布者获取新版本

落地组件2

组件2同样是一组dll劫持利用，XPSPLOG.dll使用VMP加壳，关键入口和导出全部虚拟化，经过子函数交叉分析发现，主程序虽然带签名但是区段范围被修改植入了shellcode, 所以它会从主程序的签名段中查找指定特征“0xCEBAC42D 0xEBFC6A4F”读取后面数据RC4解密(key=“NYGpuKKiU7?[0kt”)作为shellcode执行, shellcode内部继续解密目录下的image.png文件并内存加载调用导出函数“PhilipsCoInitialize”，与之前一样是vmp加壳。

image.png功能

1. rpc添加自身到计划任务，任务名：“MicrosoftEdgeUpdateTaskUA Task-S-1-5-18+ 随机字符” ,

2. 篡改hosts文件阻断域名“weishi.360.cn”，www.360.cn，sd.360.cn 到127.0.0.1

3. 禁用系统电源管理与屏幕保护

4.释放自身作为备份到public目录，并修改每个落地 payload hash值

5.解密目录下的thumbs.db文件并在内存加载执行，该文件经过分析是Farfli远控。并读取前阶段写入注册表”HKLM\SOFTWARE\JDBCC”的C2配置覆盖远控的上线配置。配置共有两组，分组YKL4是企业微信用户专用，推测是高价值目标由不同的团伙接管。

远控模块

Farfli远控具备多种恶意功能: 键盘记录，进程注入，远程下载执行，远程屏幕，命令执行，浏览器数据窃取，即时通信监控 (微信WeChat/Weixin/钉钉/飞书/Telegram/Skype/企业微信WXWork)，系统代理劫持，FTP连接等功能，内置c2 :“8.218.106[.]149:7000, eeszuu[.]com:7040″

IOC

MD5:

707107013d933707caac8bf1b7173afd

9ec587911e501b73b7cf09f05d0ae17d

af9a1549d004152d7c30bc85ea971274

e66d95b83859d66d9629ef2787cb3e58

URL:

https[:]//pc-duba[.]com[.]cn

https[:]//www.velnix703[.]com/downs245

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/tad

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/a.gif

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/b.gif

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/c.gif

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/d.gif

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/s.dat

https[:]//jun616.oss-cn-beijing.aliyuncs[.]com/s.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/f.dat

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/drops.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/FOM-50.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/FOM-51.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/FOM-52.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/FOM-53.jpg

https[:]//26nn.oss-cn-hangzhou.aliyuncs[.]com/s.jpg

C2:

8.218.106[.]149:7000,

47.83.196[.]167:9000

202.95.14[.]237:7032

eeszuu[.]com:7040

wfmwsj[.]net:7031

wtkblq[.]com:7032