关于银狐
银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件,如发票、财税文件等,诱骗用户点击下载和执行,从而实现对目标计算机的远程控制。
银狐通常利用“查_看_uninstall.exe”、“11月名单.exe”等文件名来针对性地误导其目标受害群体,并通过QQ、微信等即时通信软件发送钓鱼文件或网站链接,最终实现受害用户的主动执行。
漏洞挂马
近期,360发现一个被长期跟踪监控的银狐木马团队在传播手段上又有了新的变化。除了继续通过以往的传播途径外,该团队还进一步新增了对政企网站的挂马攻击。具体而言,他们是利用了正规网站中所存在的已公开漏洞,将银狐木马和钓鱼页面植入到网站中,再进行传播。这些政企网站就成了银狐木马的“传播源”,被攻击的网站包括政府网站、企事业单位网站和多家大型国企网站。这些网站的网址,一般会受到聊天软件和安全软件的信任,利用这些网站进行挂马,更容易突破防御进行传播,也更容易获得用户信任。
被攻击者利用的,主要是Web应用的上传漏洞。利用图片,附件等的上传接口,很多应用对上传接口检测不严格,对上传文件的访问没有限制,造成攻击者上传病毒文件或挂马页面,之后获取到访问链接,就能够直接传播和发起攻击。
目前发现已被利用的网站漏洞有KindEditor、WordPress、UEditor、ThinkPHP等数十款热门Web应用漏洞。以下360近期发现的一些较为典型的攻击案例。
利用UEditor漏洞上传恶意载荷到某博物馆页面
UEditor是国内一款被广泛使用的Web前端编辑器,但其某些早期版本中存在上传漏洞,攻击者则可以利用这些漏洞上传恶意文件,其中也包括了可被执行的恶意代码脚本,攻击者便有机会利用这一点来获取Web服务器的管理权限。
在我们的检测数据中,发现国内某博物馆的主页便使用了带有漏洞的UEditor编辑器,这也导致了其主页被黑客篡改并植入了银狐木马。一旦有用户访问该页面,便会执行恶意链接并跳转到某盘的木马下载共享链接进行木马下载操作。
由于该网站属于是正规网站,可信度较高,用户难免放松警惕执行了木马,最终导致用户的机器遭到银狐木马的感染和控制。
图1. 用户从某博物馆页面下载银狐木马载荷
利用KindEditor漏洞上传恶意载荷
与UEditor有所区别,另一款广受青睐的Web前端编辑器KindEditor在某些版本中存在的上传漏洞仅允许攻击者可以上传.txt和.html文件。但这已然存在着可乘之机——因为这些文件可以嵌套暗链接或XSS攻击代码,所以攻击者同样可以通过构造恶意的html文件来实现跳转、钓鱼等恶意行为。
某公司是智慧机器人、智能控制器一体化解决方案的集成商,产品广泛应用于航天、5G通讯、人工智能、医疗设备、轨道交通、智能卫浴、工业控制、新能源等众多领域。根据360大数据排查,该公司的网站便是由于使用了带有漏洞的KindEditor编辑器而导致被攻击者利用挂载了银狐木马,当该公司的客户或远控访问其主页时,便会下载银狐木马到设备中。该网站被植入的恶意载荷列表如图:
图2. 被攻击者通过漏洞植入到服务器中的恶意载荷列表
同样,受害用户会通过被篡改的页面代码下载银狐木马到本地:
图3. 访问者下载银狐木马到本地
更为值得重视的是,被植入到该网站的银狐木马还会利用PoolParty注入技术代替常规的代码注入方法,会在执行后将代码注入到系统进程中实现驻留,规避安全软件拦截。并且会修改注册表启动项和添加计划任务进一步增加自身的“生存几率”。
图4. 银狐木马在受害者设备中启动
图5. 银狐木马修改注册表启动项
利用ThinkPHP漏洞上传恶意载荷
与上述的宽页面编辑器不同,ThinkPHP 是一个流行的 PHP 开发框架,但其某些版本中同样存在任意文件上传漏洞——允许攻击者上传恶意文件并执行。攻击者可以利用此漏洞上传恶意脚本文件,从而获取服务器的控制权、执行任意代码,同样可能导致数据泄露、服务器被入侵等严重后果。
360云端大数据发现某直通服务平台由于使用了V5.0.24版本的ThinkPHP而非当前最新版本,导致被攻击者利用挂载银狐木马,被挂载的银狐木马同样也是通过某网盘的共享链接下载到受害者机器中的。
图6. 某直通服务平台被攻击并植入恶意下载链接
略有区别的是该链接下载到的是某正规安全终端软件,该终端提供了远程控制功能,此功能允许管理员从远程位置安全地访问和控制终端计算机,从而进行实时的监控和管理。该安全终端被银狐木马团伙恶意利用来实现对受害用户机器的入侵,从而可以控制用户机器,窃取机器信息以及进行进一步的恶意行为。
安全提示
针对此类攻击,安装有360终端安全客户端的用户无需过度担心,只需正常开启360客户端并确保其防护功能生效,其余的只要交给360即可。
图7. 360拦截对银狐木马的攻击拦截弹窗
对于这类攻击,我们向广大用户提出以下几点安全建议:
安装安全软件并确保其防护功能已被完整开启,保证安全软件能有效保护设备免受恶意攻击。
相信安全软件的判断,切勿轻易将报毒程序添加至信任区或退出安全软件。
建议尽可能将网站引用升级到最新版本,并修复已知漏洞。
IOCs
样本MD5
4cf3a577fdd1bdd7d232970c65042a3a
6dc3f6da0a2c7e4a9953b9108fdb296b
50e5f2d31f70aca0c17fda498003fca4
56d5168e68d16cafcae3d0134242887d
e74e418b671845d7e434442c1e4891e9
文章原文链接:https://www.anquanke.com/post/id/302630