近期，火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现，该样本通过阿里云存储桶下发恶意文件，采用AppDomainManager进行白利用，并借助Python执行恶意脚本下发Go语言后门，最终实现对电脑的后门权限长期维持控制。目前，火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全。

查杀图

一

银狐再升级

历经两年的持续演进，银狐组织（SilverFox）采用的后门程序已从早期的Gh0st、Win0s等传统RAT，发展成了多语言混合版本。

本次捕获的样本采用了Go语言编写，具备信息窃取、命令执行等基础恶意功能。值得注意的是，银狐组织的对抗技术也进行了显著升级：对此次样本的进程链进行分析发现，攻击者已经摒弃了早期依赖内存加载PE文件的方式，而是转用一种"白文件+脚本"的新型利用链——即利用合法XML文件配合Python脚本实施攻击。这种技术演进使得整个攻击过程中无需加载任何恶意PE文件(无任何黑DLL，全文本攻击)，能够有效规避基于ATT&CK矩阵的常规检测手段，最终成功实现Go语言后门的持久化驻留。

而在溯源过程中发现，银狐组织已经能够通过单台服务器实现对上千台终端设备的控制。这些受控设备主要集中在财务、国企、政府等部门。银狐组织利用这些设备，通过企业微信、钉钉等即时通讯平台进一步下发信息，实施诈骗。

银狐

二

样本分析

样本执行流程图如下：

样本流程图

该样本伪装成谷歌浏览器升级程序，并构造过期签名实施钓鱼攻击。

伪造程序

其采用火山软件开发平台(易语言x64版本)进行编写，恶意代码被编译在加密库函数中。

火山远控

该恶意代码会判断进程名称是否为ngjklr1333.exe，如果不匹配则不执行恶意代码。

名称判断

之后，样本生成目录C:\\ProgramData\\Microsoft\\Windows\\NT\\Crypto\\Python\\Python3\\Python3.12.4。因为KeePass.exe是样本后期采用的白利用程序之一，所以样本会先判断环境中是否已经存在KeePass进程，若存在的话，则通过命令行结束taskkill /IM KeePass.exe /F进程。

随后，通过阿里云存储桶获取Python安装包，并构造解压命令tar -xf Kp//python312.zip -C C://ProgramData//Microsoft//Windows//NT//Crypto//Python//Python3//Python3.12.4。

文件下载

接着，使用Microsoft.XMLHTTP ActiveX控件发起HTTP GET请求，其URL为https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/python312.zip。

Microsoft.XMLHTTP

之后，再次从阿里云存储桶服务器下载恶意利用文件https://images-room.oss-accelerate.aliyuncs.com/G11Vw45Z/kp/k.zip，并解压文件tar -xf Kp//k.zip -C [user_directory]/Kp。接着，创建进程打开KeePass.exe。

下载恶意利用文件

KeePass

KeePass.exe是一款开源的密码管理器，在该样本中被用作白利用程序。其通过附带的KeePass.exe.config配置文件实现AppDomainManager注入。

在.NET Framework中，exe.config文件通常被称为“配置文件”，该文件包含控制应用程序行为的信息。部分系统程序集（如System.Xml，System.Data，mscorlib等）的版本号会随着.NET Framework的升级而更新。

该样本解压出的KeePass.exe.config配置文件利用

KeePass.exe.config

KeePass.config.xml配置文件定义了版本号2.57.1.16889，并具备控制KeePass启动行为、语言设置、插件兼容、界面布局、触发器自动操作等行为。其中的触发器（Trigger）设置为自动执行，该触发器触发时，会从远程地址下载恶意代码并解密执行。

KeePass.config.xml

恶意代码会利用第一阶段下载的Python文件，通过Python代码实现异或与base64解密，进而自动执行解密后的恶意代码。

Python代码

解密后的代码是一个后门Python脚本，它会下载伪装成图片的远程恶意可执行文件，并在系统中创建多个具有计划触发功能和高权限（SYSTEM/Administrators）的计划任务，以实现后门持久化。它还会利用注册表和系统任务文件清除机制来隐藏计划任务：

• task1 下载Go后门

• task2 创建计划任务

• task3 计划任务结束KeePass

• hidden_task 修改注册表隐藏计划任务

计划任务结束KeePass

隐藏计划任务

tmux.jpg是一个Go后门木马文件，通过WebSocket进行通信。该木马首先会收集电脑信息和杀软环境信息。

获取电脑基本信息

之后，通过WebSocket与C2服务器进行通信（C2服务器地址为fourier.ali-cloud.top:8055）。

C2配置

分析发现，该后门具有以下功能。

后门功能

0x3 CMD/Shell命令。

CMD/Shell命令

0x4 屏幕截图、获取浏览器数据。

屏幕截图、获取浏览器数据

0x6 代理功能。

代理功能

0x7 获取Telegram密钥。

备份Telegram

0x8 获取getxshell密钥。

获取getxshell 密钥

0xB 文件搜索。

文件搜索

0xC 上传文件。

上传文件

0xD 删除文件。

删除文件

0xE 下载文件。