msi打包的银狐样本分析

样本来源

VT3 应该是银狐_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!

感谢分享~

初步研判

在卡饭上找样本学习，看到微步未检出c2，进一步看看

SHA256：6097eea67c17b7036081790679cee5da58366345f8709c82a08fd5bdeed6a46e

文件类型为MSI

我们在vt上可疑找到UCore.dll可能有问题

MSI文件释放文件很正常，但是这个目录比较特殊，很多银狐的样本都喜欢往%APPDATA%目录放文件，可疑

行为分析

进程行为

无子进程

在我们运行msi程序后，会弹出setup.exe。应该是用于伪装的白文件，带签名

文件行为

释放文件目前可知的如下所示

注册表行为

未发现维权行为

网络行为

不过单独执行APPDATA目录下的uc.exe可以找到链接行为

详细分析

MSI文件之前分析过，同样按照之前的步骤分析，可以看到调用LaunchApp，我我们根据launchApp进行下一步

找到launchAPP的路径，可以看到调用了uc.exe，这个文件是白的

<img src="./upload/attach/202503/984655_FJRA9CBURZHJYUJ.png" alt="image-20250314101208643" style="zoom:200%;" />

我们在初步研判中了解到11UCore.dll是可疑文件，我们可以给这个dll改个文件名，看看uc.exe启动会不会报错

所以可以确定，11UCore.dll为黑

该dll导出函数一共有4个

我们先看dllmain，利用APC注入当前线程，导出函数中除run外内容都与dllmain内容相同

我们经过动态调试，得出一下行为，使用inlinehook跳转执行

然后再core函数中解密字符串获取WINAPI，行为先是获取了ProgramData下的11UCore.cpy文件，该文件属于加密数据

代码中获取该文件后，使用异或密钥mysecretkey解密文件

我们把文件解密出来，又是一个dll，无导出函数，只有entry

这里调试比较麻烦，会检测当前进程名

在后续中使用com组件调用计划任务

最后创建如图所示的计划任务，用于启动uc.exe

之后启动线程使用rc4解密update.cab，其key为winos，确定为银狐样本

我们使用脚本解密出dll

一进来就可以看到银狐的特征

我们根据如下特征可以取出c2

把dll单独导入微步云沙箱中也可以看到有针对银狐的检出

IOC

c2详细内容可在微步x情报社区查看

[注意]看雪招聘，专注安全领域的专业人才平台！