银狐木马样本深度分析与后门域名溯源

字数 2278 2025-11-21 13:14:54

银狐木马分析与溯源技术教学文档

一、恶意软件分析基础

1.1 银狐木马概述

银狐木马是近年来活跃的恶意程序，具有以下特征：

隐蔽性强，采用多种隐蔽技术
传播渠道多样（邮件附件、恶意链接、捆绑软件）
攻击目标广泛（个人用户、企业、关键基础设施）
功能包括信息窃取、后门植入、僵尸网络构建

1.2 样本基本信息分析

文件名称：setup.exe（伪装成合法软件）
文件格式：PE32可执行文件
文件大小：532KB
编译时间：2024年10月19日
传播途径：钓鱼邮件附件

二、静态分析技术详解

2.1 入口点分析

__int64 wmain()
{
    SetUnhandledExceptionFilter(TopLevelExceptionFilter);
    HWND hWnd = GetConsoleWindow();
    ShowWindow(hWnd, 0); // 隐藏控制台窗口
    // 创建主线程执行恶意功能
    hObject = CreateThread(0, 0, sub_14000A440, 0, 0, 0);
    WaitForSingleObject(hObject, 0xFFFFFFFF);
    return 0;
}

2.2 配置解析机制

函数sub_140008750负责配置解析：

从注册表HKEY_CURRENT_USER\Console读取IpDate值
解析配置字符串：|0:db|0:lk|0:hs|0:ld|0:ll|0:hb|0:pj|9.11.5202:zb|0.1:bb|
时间解码：5202→2025年11月9日（混淆技术）

2.3 网络通信模块分析

函数sub_140003390实现TCP连接建立：

2.3.1 套接字创建与配置

// 创建TCP套接字
v6 = socket(2, 1, 6); // AF_INET, SOCK_STREAM, IPPROTO_TCP

// DNS解析
hostbyname = gethostbyname(lpMultiByteStr);

// 设置目标地址
name.sa_family = 2; // AF_INET
*(_WORD *)name.sa_data = htons(hostshort); // 端口号
*(_DWORD *)&name.sa_data[2] = **(_DWORD **)hostbyname->h_addr_list; // IP地址

// 建立连接
connect(s, &name, 16);

2.3.2 套接字优化参数

接收缓冲区：256KB（0x40000）
发送缓冲区：256KB
发送超时：30秒
保持连接：启用（180秒保持，5秒间隔）

2.4 关键字符串分析

在.rdata段发现的重要字符串：

recv sn=%lu              // 接收序列号
input ack: sn=%lu rtt=%ld rto=%ld  // 确认包信息
input psh: sn=%lu ts=%lu // 推送包数据
input probe              // 连接探测
input wins: %lu          // 窗口大小
denglupeizhi             // 登录配置（中文拼音）
d33f351a4aeea5e608853d1a56661059  // 可能的MD5哈希

三、动态行为分析

3.1 沙箱环境配置要求

操作系统：Windows 10 64位
安全设置：关闭杀毒软件和防火墙
监控工具：Wireshark网络流量分析

3.2 恶意行为观察

文件操作
- 在C盘图片目录创建隐藏文件
- 存储窃取的系统信息（硬件配置、用户账号等）
注册表操作
- 修改HKEY_LOCAL_MACHINE\SOFTWARE项
- 创建持久化注册表值IpDates_info
网络行为
- 运行后3秒内发起网络连接
- 目标：yk.ggdy.com和115.190.102.32:6000
- 数据传输使用AES加密
- 连接失败时每分钟重试

四、持久化与配置管理

4.1 注册表持久化技术

// 打开注册表键
RegOpenKeyExW(HKEY_LOCAL_MACHINE, L"SOFTWARE", 0, 0x102u, &hKey);

// 删除旧值并写入新配置
RegDeleteValueW(hKey, L"IpDates_info");
RegSetValueExW(hKey, L"IpDates_info", 0, 3u, &Src, 0x12A0u);

4.2 配置数据结构分析

从注册表提取的配置信息（UTF-16LE编码）：

C2服务器IP：115.190.102.32
C2端口：6000
本地监听IP：127.0.0.1
本地端口：80（模拟HTTP服务）
版本号：1.0
配置日期：2025.11.9
功能开关：多个1值（启用各种功能）

五、溯源分析技术

5.1 域名溯源

发现的后门域名：yk.ggdy.com

需要进一步WHOIS查询
DNS解析记录分析
历史IP关联分析

5.2 IP地址分析

恶意IP：115.190.102.32
地理位置查询
历史活动分析

5.3 代理溯源技术详解

5.3.1 代理类型与溯源可能性

| 代理类型 | 匿名性 | 溯源难度 | 关键因素 |
|---------|--------|----------|----------|
| 免费公共代理 | 极低 | 容易 | 可能泄露真实IP，多数留存日志 |
| 付费普通VPN | 中等 | 中等 | 服务商留存日志，配合执法 |
| 无日志VPN | 较高 | 困难 | 真正无日志服务商难以溯源 |
| Tor网络 | 极高 | 极难 | 多层加密，单节点无完整信息 |

5.3.2 执法溯源流程

获取代理IP：从攻击日志中获取使用的代理IP
法律程序：向代理服务商发出执法文书
日志调取：获取连接日志（真实IP、时间戳）
运营商查询：通过真实IP查询用户信息
最终定位：结合其他证据确定攻击者身份

5.3.3 IP泄露途径

即使使用代理，仍可能通过以下方式暴露真实IP：

DNS泄露：代理不转发DNS查询请求
WebRTC泄露：浏览器功能直接暴露真实IP
操作失误：登录绑定真实信息的账户
工具后门：恶意代理工具内置信息收集功能

六、安全防护与处置

6.1 即时防护措施

# 域名拦截（防火墙规则）
block domain yk.ggdy.com
block IP 115.190.102.32

# 进程终止
taskkill /f /im sys_update.dat

# 注册表清理
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE" /v "IpDates_info" /f
reg delete "HKEY_CURRENT_USER\Console" /v "IpDate" /f

6.2 检测指标（IOC）

网络指标

恶意域名：yk.ggdy.com
恶意IP：115.190.102.32:6000
本地检测：127.0.0.1:80异常监听

文件指标

文件路径：C:\Users\Public\Documents\sys_update.dat
注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info

行为指标

异常TCP连接（端口6000）
注册表自启动项修改
隐藏文件创建操作

6.3 长期防护策略

终端安全加固
- 定期系统补丁更新
- 安装正规杀毒软件
- 用户安全意识培训
网络防护增强
- DNS安全防护系统部署
- 网络流量异常检测
- 威胁情报平台集成
安全监测能力
- 终端行为审计
- 网络连接监控
- 实时告警机制

七、CTF相关技术拓展

7.1 选修方向建议

区块链安全：智能合约漏洞、交易分析
工控安全：PLC编程、协议分析
AI对抗：模型安全、对抗样本
应急响应：事件处理、证据保全

7.2 分析工具推荐

静态分析：IDA Pro、Ghidra、PEiD
动态分析：Wireshark、Process Monitor、API Monitor
内存分析：Volatility、Rekall
逆向工程：OllyDbg、x64dbg

本教学文档基于真实银狐木马样本分析，提供了从基础分析到高级溯源的完整技术路线，适用于网络安全学习和CTF竞赛准备。

银狐木马分析与溯源技术教学文档一、恶意软件分析基础 1.1 银狐木马概述银狐木马是近年来活跃的恶意程序，具有以下特征：隐蔽性强，采用多种隐蔽技术传播渠道多样（邮件附件、恶意链接、捆绑软件）攻击目标广泛（个人用户、企业、关键基础设施）功能包括信息窃取、后门植入、僵尸网络构建 1.2 样本基本信息分析文件名称：setup.exe（伪装成合法软件）文件格式：PE32可执行文件文件大小：532KB 编译时间：2024年10月19日传播途径：钓鱼邮件附件二、静态分析技术详解 2.1 入口点分析 2.2 配置解析机制函数 sub_140008750 负责配置解析：从注册表 HKEY_CURRENT_USER\Console 读取 IpDate 值解析配置字符串： |0:db|0:lk|0:hs|0:ld|0:ll|0:hb|0:pj|9.11.5202:zb|0.1:bb| 时间解码：5202→2025年11月9日（混淆技术） 2.3 网络通信模块分析函数 sub_140003390 实现TCP连接建立： 2.3.1 套接字创建与配置 2.3.2 套接字优化参数接收缓冲区：256KB（0x40000）发送缓冲区：256KB 发送超时：30秒保持连接：启用（180秒保持，5秒间隔） 2.4 关键字符串分析在.rdata段发现的重要字符串：三、动态行为分析 3.1 沙箱环境配置要求操作系统：Windows 10 64位安全设置：关闭杀毒软件和防火墙监控工具：Wireshark网络流量分析 3.2 恶意行为观察文件操作在C盘图片目录创建隐藏文件存储窃取的系统信息（硬件配置、用户账号等）注册表操作修改 HKEY_LOCAL_MACHINE\SOFTWARE 项创建持久化注册表值 IpDates_info 网络行为运行后3秒内发起网络连接目标： yk.ggdy.com 和 115.190.102.32:6000 数据传输使用AES加密连接失败时每分钟重试四、持久化与配置管理 4.1 注册表持久化技术 4.2 配置数据结构分析从注册表提取的配置信息（UTF-16LE编码）： C2服务器IP： 115.190.102.32 C2端口： 6000 本地监听IP： 127.0.0.1 本地端口： 80 （模拟HTTP服务）版本号： 1.0 配置日期： 2025.11.9 功能开关：多个 1 值（启用各种功能）五、溯源分析技术 5.1 域名溯源发现的后门域名： yk.ggdy.com 需要进一步WHOIS查询 DNS解析记录分析历史IP关联分析 5.2 IP地址分析恶意IP： 115.190.102.32 地理位置查询历史活动分析 5.3 代理溯源技术详解 5.3.1 代理类型与溯源可能性 | 代理类型 | 匿名性 | 溯源难度 | 关键因素 | |---------|--------|----------|----------| | 免费公共代理 | 极低 | 容易 | 可能泄露真实IP，多数留存日志 | | 付费普通VPN | 中等 | 中等 | 服务商留存日志，配合执法 | | 无日志VPN | 较高 | 困难 | 真正无日志服务商难以溯源 | | Tor网络 | 极高 | 极难 | 多层加密，单节点无完整信息 | 5.3.2 执法溯源流程获取代理IP ：从攻击日志中获取使用的代理IP 法律程序：向代理服务商发出执法文书日志调取：获取连接日志（真实IP、时间戳）运营商查询：通过真实IP查询用户信息最终定位：结合其他证据确定攻击者身份 5.3.3 IP泄露途径即使使用代理，仍可能通过以下方式暴露真实IP： DNS泄露：代理不转发DNS查询请求 WebRTC泄露：浏览器功能直接暴露真实IP 操作失误：登录绑定真实信息的账户工具后门：恶意代理工具内置信息收集功能六、安全防护与处置 6.1 即时防护措施 6.2 检测指标（IOC）网络指标恶意域名： yk.ggdy.com 恶意IP： 115.190.102.32:6000 本地检测： 127.0.0.1:80 异常监听文件指标文件路径： C:\Users\Public\Documents\sys_update.dat 注册表路径： HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info 行为指标异常TCP连接（端口6000）注册表自启动项修改隐藏文件创建操作 6.3 长期防护策略终端安全加固定期系统补丁更新安装正规杀毒软件用户安全意识培训网络防护增强 DNS安全防护系统部署网络流量异常检测威胁情报平台集成安全监测能力终端行为审计网络连接监控实时告警机制七、CTF相关技术拓展 7.1 选修方向建议区块链安全：智能合约漏洞、交易分析工控安全：PLC编程、协议分析 AI对抗：模型安全、对抗样本应急响应：事件处理、证据保全 7.2 分析工具推荐静态分析：IDA Pro、Ghidra、PEiD 动态分析：Wireshark、Process Monitor、API Monitor 内存分析：Volatility、Rekall 逆向工程：OllyDbg、x64dbg 本教学文档基于真实银狐木马样本分析，提供了从基础分析到高级溯源的完整技术路线，适用于网络安全学习和CTF竞赛准备。