銀狐木馬再升級_巧妙利用.NET特性GAC劫持系統

2025-08-29 11:29:08
我要分享


微信掃碼分享

近期，銀狐木馬更新頻繁并不斷變換攻擊技術。其使用文件拼接、AutoHotkey模擬點擊、ISO釣魚等各類技術手段實施破壞，對政企單位造成了重大威脅。下面，以近期活躍的一類使用GAC特性進行程序劫持的銀狐木馬變種為例，對該家族木馬的最新攻擊技術進行解析。?

傳播

銀狐木馬的該變種通常采用“Setup-xxxx.exe”的命名方式，將木馬主體偽裝為各類安裝程序進行傳播，誘騙用戶點擊執行。

圖1. 該銀狐木馬變種的典型釣魚頁面

木馬分析

初始加載

用戶下載到本地名為“Setup-xxxx.exe”的安裝包，本質上是一個木馬加載器（Loader）。用戶誤啟動該程序后，加載器會進一步下載木馬安裝程序“js19.dbd”。下載地址為：

hxxps://jiaoshou.bj.bcebos.com/js19.dbd

圖2. 加載器對木馬安裝程序下載地址字符串進行拼接?

被下載的這個安裝程序是一個動態鏈接庫（DLL）文件。下載成功后，加載器程序會加載該DLL并執行其run函數。作者將該木馬存儲于百度智能云對象存儲（BOS）中，不少安全軟件的網絡防護會因為“白名單機制”而對該地址直接放行。

檢測安全軟件

木馬啟動后會循環檢測360Tray.exe、360Safe.exe、ZhuDongFangYu等360其他相關程序以及火絨的HRUpdate.exe，如果檢測到這些程序，木馬會嘗試通過驅動終止相關安全軟件程序。

圖3. 木馬通過掃描內存查找360相關進程?

使用GAC發起劫持

進入到實質性的功能階段，木馬會創建以下目錄，并將其設置為只讀、隱藏屬性。

C:\Program Files\SetupInfo565661

之后，木馬會進一步從遠程地址下載DLL功能組件，然后動態加載DLL組件，并將惡意DLL安裝至全局程序集緩存，以實現多程序共享與持久化駐留。

全局程序集緩存（即Global Assembly Cache，縮寫為GAC）是Windows系統中.NET Framework提供的一個特殊目錄，用來存放經過強名稱簽名（Strong Name）的.NET程序集。它的作用是讓多個應用程序能夠共享同一個程序集，而不需要每個程序都單獨復制一份。這樣，既可以節省磁盤空間又能確保不同應用使用的是同一個版本的程序組件，避免出現版本沖突問題。但木馬利用.NET的這一特性后，則可以實現對指定.NET程序的隨意劫持。

木馬利用該手段完成對System.Collections.Modle.dll的劫持操作后，會修改注冊表以接管.NET應用程序域管理行為，進而實現對目標系統的全局影響。

圖4. 木馬通過GAC劫持System.Collections.Modle.dll?

篡改配置與輔助文件下載

完成劫持操作后，木馬會再次下載加密文件109.mdb到本地，重命名為adp.xml，并下載dfsvc.exe到本地，重命名為uninstall_xxxxx.exe（xxxxx為隨機字符串）。

圖5. 木馬下載輔助文件到本地?

木馬接著修改注冊表，將對應值修改為0，以允許未標記安全的ActiveX控件初始化和腳本執行。注冊表路徑為：

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201

利用系統功能執行

此后，木馬會生成temp_1756284537.html和temp_1756284616.mmc兩個臨時文件。其中，temp_1756284537.html文件的內容，會利用之前關閉的ActiveX控件安全限制啟動木馬程序。

圖6. temp_1756284537.html文件內容?

之后的木馬功能環環相扣：先利用MMC20.Application.1 COM組件，執行另一個臨時文件temp_1756284616.mmc，進而觸發HTML文件運行。而在啟動此前創建的正常.NET程序uninstall_1awRtVHM.exe后，該程序會被自動加載已被劫持的System.Collections.Modle.dll模塊組件。

圖7. 木馬利用系統功能執行后續組件?

長期駐留與注入遠控

正常程序uninstall_1awRtVHM.exe被執行后，在木馬已經布置好的環境中，會加載被劫持的System.Collections.Modle.dll，進而變成木馬的傀儡進程，傀儡進程會首先通過計劃任務實現長期駐留。在計劃任務啟動后，木馬安裝程序通過MMC20 COM組件，執行mmc文件來引爆整個木馬執行鏈。