利用Python启动远控，"银狐"对抗又升级

文章预览

事件概述： 近期毒霸安全团队再次检测到“银狐”变种大范围传播，主要途径来自于搜索引擎的广告页投放，页面仿冒其他公司的推广下载站，另一方面通过感染后的用户微信群发病毒文件，实现裂变传播。其中一个仿冒投放页如下。 经过深入分析，这是“银狐”家族的又一个新变种，与之前披露的攻击手法不同，本次感染链在复杂和对抗度上进一步提升，加入UAC绕过，线程池注入结束安全软件进程，并利用python驻留系统，BoxedAppSDK加载加密压缩的恶意dll等。最终执行winos远控木马，操控用户电脑。winos是基于Gh0st的远控变种在黑产圈大量传播使用。整个攻击流程如下。 详细分析： 母体样本大部分命名为：“ 安装包_Setup.exe，软件包安装程序.exe，安装包5.2.3-doc-uninsta.exe等 ”。 母体样本为增强免杀能力， 使用 了多个开源库： ZeroMQ，Curl，Openssl等， ………………………………