伪装成火绒安装包使用白加黑方式加载银狐木马变种样本分析

点击上方蓝字关注我们

在吉宙实验室例行威胁样本追踪过程中，发现一个伪装成火绒安装包文件，将其上传至吉星云诱捕分析平台 (https://decoymini.com) 进行检测，检测结果如下：

火绒安装包样本

样本为一个大小为 68.7MB 的 MSI 文件，由 CustomAction 来执行模块

对其进行解包

其中 Uninst000.exe 是一个正常的火绒安装包程序，带有有效签名。nginxCore.dll 这个文件引起我的注意，因为它的大小不正常，达到了近 300MB。resources.zip 是一个带有密码的压缩包文件，暂时不知道解压密码。

在对 nginxCore.dll 内容查看时，发现里头充斥了大量的 '00' 字节，对此可初步判断出该文件使用了体积膨胀技术，手动对其进行 "瘦身" 后，体积来到了 157KB 大小

查看导出表，只有 3 个导出函数，原始文件名为 natashais4b.dll

ppQiL7ReEsY 与 pRGa3XO8som 为同名导出函数，函数体为空

CheckIfInstalled

反沙箱，检测是否被加速，如果实际等待时间小于 12 秒，则退出程序

检测自身是否已被安装，若不存在则退出程序

接着遍历进程查找 msiexec.exe 进程，通过地狱之门方式获取 Nt 函数的 SSN 号并保存到全局变量中供后续调用，避免被 HOOK

通过 Patch 绕过 AMSI 扫描和 ETW (使用 ETW 机制进行监控的工具会失效)

DNS TXT 查询，将 TXT 查询结果拼接

获取 user.pub 文件内容并进行循环异或解密，密钥为 "UpdateThreads" 字符串

解密脚本

KEY = b"UpdateThreads"def decrypt_file(src, dst):    with open(src, "rb") as f:        data = bytearray(f.read())    for i in range(len(data)):        data[i] ^= KEY[i % len(KEY)]    with open(dst, "wb") as f:        f.write(data)    print(f"[+] Decrypted: {dst}")if __name__ == "__main__":    decrypt_file("user.pub", "user_decrypt.pub")

解密出来的是一个 64 位的 DLL 文件，编译时间 6 月 17 日

将解密后的内容复制到分配的内存当中 (DOS 头经过了修改)，并将其地址作为 EnumSystemLocalesEx 函数的回调地址执行，执行方式为反射加载

该 DLL 只有一个名为 Run 导出函数，原始文件名 MemShellCodeWithUnzip.dll

user.pub

Run 函数首先对 resources.zip 文件进行压，解压密码为 "ok"

手动解压

Core 文件夹内只有一个 txt 文本文件

通过调用 COM 接口来执行 war3n.exe

War3n.exe

War3n.exe 是一个带有有效签名的 32 位程序

如果是暴雪游戏玩家会对这名字非常熟悉，也就是魔兽争霸 3。对其它文件进行查看，发现以下 2 个文件可疑：

private.cer：不是一个有效的证书格式文件
Storm.dll：导出表可疑

Storm.dll 是一个 32 位的 DLL 文件，编译时间为 6 月 19 日

原始文件名为 Dll1.dll，这是 vs DLL 工程默认的文件名，导出函数均是以序号方式导出，共 51 个，其中 50 个函数体为空，导出序号为 463 的函数可疑

在 War3n.exe 的入口处，调用了此序号 463 的函数

此函数使用了 APC 注入方式，SleepEx 后触发执行 pfnAPC

pfnAPC 首先读取 private.cer 文件内容到新分配的内存当中

接着对其进行 ARC4 解密，密钥 'xiaobaitu'，小白免？

最后将首地址作为 EnumDisplayMonitors 的回调函数并执行，解密脚本

from Crypto.Cipher import ARC4key = b"xiaobaitu"with open("private.cer", "rb") as f:    enc = f.read()dec = ARC4.new(key).decrypt(enc)with open("private_decrypt.cer", "wb") as f:    f.write(dec)

private.cer

解密出来的是一个 32 位的 DLL 文件，编译时间为 6 月 18 日

原始文件名 HTSAgent.dll

加载方式为反射加载 (Patch 了 DOS 头部)

首先创建一个名为 HTS_AgentRunGuard 互斥体，避免重复执行

接着比较两个字符串 "xiugaishiyong" (修改使用？)，但条件永远为 0，So，何意味？最后开启线程 sub_10001820

线程函数中首先会检测当前进程是否已提权

获取 ntdll.dll 中以下几个函数

LdrEnumerateLoadedModules
RtlAcquirePebLock
RtlReleasePebLock
RtlInitUnicodeString

后面需要去修改 PEB 结构

COM 提权，CLSID 为

{3E5FC7F9-9A51-4367-9063-A120244FBEC7}

对应 ICMLuaUtil，后偏移 0x24 对应 ICMLuaUtil::ShellExec()，参数为自身路径

利用 ICMLuaUtil COM 进行自提权从而绕过 UAC，自提权操作后便开始修改 PEB 结构进行伪装

PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine

使用 LdrEnumerateLoadedModules 同步 LDR 模块链表，防止一些进程监控工具 (如 Process Hacker)、PEB 遍历，EDR 用户态扫描发现不一致

提权后便解析配置

下面便去解析 C2 配置，在解析之前，会去判断前 0x13 个字符与 "aihepijiudexiaotuzi" (爱喝啤酒的小兔子？) 是否相同，这里主要判断 0x13 个字符后面是否有内容，如果仅仅是这个字符串，后面没内容则退出

这里后面的内容应该是配置内容

配置字段

看门狗与持久化

启用特权提升，这三个特权是创建会话进程所必需的，SeTcbPrivilege 是最高级别特权之一

创建一个名为 Global\\HTS_EMS_Launcher 全局互斥体，确保只有一个看门狗实例

看门狗循环

根据配置内容的指定参数来设置自启动类型实现持久化，共有 4 种自启动类型 (0 ~ 3)

0 为绿色模式，不设置自启动；1 为通过设置注册表方式

2 为创建计划任务方式，在系统启动时触发，以最高权限级别运行

3 为创建服务方式自启动

除了以上这种持久化实现方式外，还有另外一种独立于进程外的持久化方式，通过基于 WMI 的进程守护机制，这是持久化机制中最隐蔽、最系统级的一种，可形成 "不死" 进程，这是高级恶意软件常用的技术之一。

接下来初始化 COM 和 WMI

创建事件过滤器，__EventFilter 是 WMI 的系统类，用于定义事件筛选条件

构建 WQL 查询语句，由前后上下文推理可得知此处进程名为 War3n.exe

提交事件过滤器

创建命令事件消费者，CommandLineEventConsumer 是 WMI 内置的消费类，用于在事件触发时执行命令行程序

配置消费者参数并提交事件消费者

绑定过滤器和消费者再提交绑定

与 C2 通信

创建一个延迟执行的后台线程 (延迟 120 秒)

检查 HKCU\Environment 下有没有 UserInitMprLogonScript 键，若没有则写入，值为 War3n.exe 的路径，在用户桌面初始化期间会执行

创建一个名为 HTS_EMS_AgentOnline 互斥体，确保只有一个 Agent 实例

最后进行轮询通信

执行下发的命令及指定功能的模块

RAT 的功能集中在 sub_1001DFA0 中 (下发功能模块等)，结合之前配置字段 (p1p2p3p4 ......) 及 "xiugaishiyong" 字符串，可判断这是一个经过修改过的银狐木马变种。

总结

本次分析的样本以火绒安装包 (MSI) 作为载体，通过多层加载、分阶段解密和反射执行的方式，最终释放并运行经过修改的银狐木马变种。整个攻击链设计完整，各阶段职责明确，并结合多种对抗分析与持久化技术，具有较高的隐蔽性。

攻击者首先利用 MSI 文件释放多个组件，通过体积膨胀技术隐藏真实的 Loader (nginxCore.dll)，以增加静态分析成本。Loader 在运行过程中首先进行反沙箱检测，通过检测时间加速环境、防止 API Hook (地狱之门动态解析系统调用号)、Patch 方式绕过 AMSI 与 ETW 等方式规避主流安全产品检测。随后对 user.pub 进行异或解密，并采用反射加载执行内存中的第二阶段 DLL，整个过程中未直接落地最终有效载荷。

第二阶段 DLL (MemShellCodeWithUnzip.dll) 负责解压资源文件，并利用合法签名的 Warcraft III (war3n.exe) 作为白加黑宿主继续执行后续恶意代码。其配套的 Storm.dll 仅保留一个有效导出函数，通过 APC 注入方式触发执行，再利用 ARC4 (密钥为 "xiaobaitu") 解密 private.cer，并再次采用反射加载方式执行最终的 HTSAgent.dll，实现了多层加密、多层解密、多层内存加载的执行链路。

HTSAgent.dll 为整个样本的核心功能模块，程序首先通过 ICMLuaUtil COM 对象绕过 UAC，实现自身提权；随后修改 PEB 中的 ImagePathName 和 CommandLine，并同步 LDR 模块链表，对进程身份进行伪装，以降低用户态检测工具发现异常的概率。在配置解析阶段，可发现大量 "HTS EMS Agent"、"HTS EMS Employee Agent" 等字符串，以及 "aihepijiudexiaotuzi (爱喝啤酒的小白兔)"、"xiaobaitu (小白兔)"、"xiugaishiyong (修改使用)" 等开发者自定义标识，结合通信协议和配置格式，可判断该样本属于定制修改的银狐木马变种。

样本在持久化方面实现了多重冗余机制。除支持注册表 Run、自启动计划任务及系统服务等常见方式外，还利用 WMI 永久事件订阅构建进程守护机制，可在指定进程退出后自动重新拉起，实现较强的持久化能力。同时，通过 SYSTEM 服务结合 Session 0 WatchDog 架构，在活动用户登录后自动创建用户态 Agent，使恶意程序能够长期稳定运行。

在通信阶段，样本首先创建专用互斥体防止重复上线，并检查 UserInitMprLogonScript 注册表项作为辅助启动方式，随后延迟启动后台线程，与远程 C2 建立轮询通信，根据服务器下发的命令动态加载功能模块执行对应操作。

综合整个攻击流程来看，该样本并非传统单阶段木马，而是构建了一套完整的多阶段加载框架。从白加黑加载、反沙箱、反监控、UAC 绕过、PEB 伪装、内存反射加载，到多重持久化及模块化远控通信，各个阶段均进行了较强的工程化设计。