В непрерывно развивающейся экосистеме киберугроз семейство вредоносных программ SilverFox демонстрирует тревожную эволюцию. Согласно техническому анализу, проведенному специалистами Huorong Security, новые варианты этого трояна, впервые обнаруженного в 2020 году, стали значительно сложнее и представляют серьезную опасность для корпоративных и персональных систем.
Описание
Особую озабоченность экспертов вызывает формирование полноценной подпольной экономики вокруг этого вредоносного ПО. Исходный код Silver Fox активно продается и перепродается на теневых форумах, что позволяет злоумышленникам создавать кастомизированные версии для целевых атак. Эта доступность исходников способствует постоянному появлению новых модификаций трояна.
Технические усложнения
Современные варианты демонстрируют значительные улучшения в области обфускации и противодействия анализу. Как отмечают исследователи, зловред использует комбинацию OLLVM (инструмент обфускации кода на основе архитектуры LLVM) и VMProtect (система защиты программного обеспечения) для затруднения обратной разработки.
"Обфускация достигается через выравнивание потока управления и добавление непрозрачных предикатов, что делает статический анализ чрезвычайно сложным", - поясняют аналитики Huorong. Непрозрачные предикаты - это булевы функции, использующие математически сложные для анализа выражения для сокрытия реального потока выполнения программы.
Интересной особенностью является психологический аспект: авторы вредоносного ПО добавили в код сообщения, направленные на исследователей безопасности, включая тексты "Stop reversing the binary" ("Прекратите реверсить бинарник"), "Reconsider your life choices" ("Пересмотрите свои жизненные выборы") и "And go touch some grass" ("Иди потрогай траву" - интернет-сленговое выражение, призывающее вернуться в реальность).
Многоступенчатая архитектура атаки
Атака реализуется через сложную цепочку выполнения, начинающуюся с файла Murglar.exe, который маскируется под легитимный медиаплеер. Этот начальный нагрузчик содержит значительный объем дополнительных данных и модифицированную точку входа, направляющую выполнение на шеллкод.
Шеллкод демонстрирует изощренные техники анти-эмуляции, включая проверку скорости времени, выполнение ресурсоемких циклов, аллокацию больших объемов памяти, динамическое патчинг собственного кода и проверку целостности стека. Особенно примечательно использование функции ntdll!PfxInitialize, возвращаемое значение которой в реальных системах всегда равно 0x200 - особенность, которую не всегда корректно реализуют эмуляторы.
После успешного обхода средств защиты нагрузка расшифровывает и отображает в памяти DLL-библиотеку, вызывая ее экспортную функцию SyncCreate. На этом этапе вредоносное ПО проверяет наличие мьютекса и при его отсутствии запускает основную логику заражения.
Продвинутое противодействие защитным решениям
Троян демонстрирует целенаправленные атаки на продукты безопасности, особенно на решения 360 Security. Механизмы противодействия включают поиск процессов 360tray.exe, 360sd.exe и 360safe.exe с последующей отправкой сообщений WM_QUIT и WM_CLOSE соответствующим окнам.
Для обхода контроля учетных записей (UAC) используется техника ShellExecuteEx с параметром "runas", а для защиты от отслеживания ETW (Event Tracing for Windows) применяется хук функции ntdll!NtTraceEvent через запись инструкции RETURN в начало функции.
Обнаружение песочниц реализовано через множественные методы: проверка путей выполнения, анализ имени хоста, определение объема оперативной памяти, подсчет CPU-ядер и временные проверки. Особый интерес представляет проверка загрузки библиотеки SxIn.dll, характерной для песочницы 360.
Сложная система постоянства
Для обеспечения персистентности троян использует комбинированный подход. В системах Windows 8 и новее он создает задание планировщика задач через PowerShell, в более старых версиях - через RPC-вызовы. Имя задачи маскируется под легитимный процесс обновления Microsoft Edge.
Механизм боковой загрузки DLL (DLL side-loading) реализован через подписанный легитимный EXE-файл, который загружает вредоносную библиотеку npwzwmc64.dll. Примечательно, что троян модифицирует хэши файлов, изменяя отдельные байты в конце файлов, что позволяет обходить сигнатурные проверки, сохраняя при этом валидность цифровых подписей.
Индикаторы компрометации
URLs
- http://1bit.ly/android.exe?id=798265000
SHA256
- 1a6df4e900b2091783072b2c59575cd94435538638523222fab54894411f6aa2
- 4337c3149251277a0c55c14233410e8b37942241ea0388cd06ca7f70f750770f
- a0b132cf203c181f925d7fb64a2164c5c4750f6b520927dc8ed30832789a34ff
- c04344f4cf870f0c3aaf6ca74582c4377794bad536289878bd25efd10bbfce07
- f1250deaf2d149a0977224fac47feea7529fafaaaf5f5874d3667fd009536002
