引言

        在数字化飞速发展的时代，无论是身处各类终端设备的普通用户，还是在云端的业务服务，都不可避免地陷入恶意软件攻击的重重泥沼之中。在终端防护应用下，感染型病毒很难清除，钓鱼木马也因为狡猾多变非常棘手。其中，以“银狐”类钓鱼木马尤为突出，它凭借高度隐蔽的特性，犹如隐藏在暗处的幽灵，不易被察觉；这类木马不断推陈出新，以形形色色的新颖攻击手段，通过各种复杂的途径对用户展开精心的钓鱼攻击。同时，云上服务面临着形形色色的恶意威胁，诸如Mirai、Xorddos等臭名昭著的后门家族，潜入服务器窃取数据和信息；挖矿木马也在暗中活跃，非法占用资源影响服务的正常运行；还有Webshell后门攻击，犹如隐藏在城门漏洞中的刺客，随时准备给云端服务以致命一击。
        面对日益增强且愈发复杂的恶意代码演化态势，腾讯安全威胁情报团队，利用反病毒引擎TAV（以下简称“腾讯TAV”）持续对Webshell和钓鱼家族进行深入分析与紧密的跟进，研究对抗这些恶意攻击的新颖手法，建立了多维度检测识别技术。技术涵盖了基于静态特征的精准识别、语义维度的污点分析——通过对恶意代码“语义脉络”的剖析寻找破绽、动态虚拟执行——在模拟环境中实时观察恶意软件的行为特征，以及启发特征检测等多种有效手段。这些多维度的检测识别技术，构建了抵御恶意代码的第一道坚固防线，为网络安全保驾护航。

1、终端场景，云上恶意代码态势

针对终端用户、云上用户的恶意软件攻击仍在持续，传统的感染型、恶意推广软件仍然活跃。同时银狐类的钓鱼攻击持续变化，对抗手段更加多样。

终端场景当前主要威胁类型

• • 感染型病毒：Virus.Win32.Tutu, Virus.Win32.Darkomet, Virus.Win32.Nimnul 等感染型家族仍然活跃。

• • 钓鱼木马：银狐等钓鱼家族持续活跃，对抗手法持续增强，钓鱼手法多变。

云上当前主要威胁类型

• • Backdoor后门：活跃家族为 Mirai, Xorddos等，Xorddos 木马会将感染设备组成僵尸网络，攻击者可以利用这些设备发起大规模的 DDoS 攻击，导致目标服务器无法正常服务。

• • 挖矿木马：木马通过各种手段在云服务器上驻留并执行挖矿操作，消耗大量计算资源，从中获取非法收益。

• • Webshell: php、jsp 类Webshell为主流，哥斯拉等 Webshell 生成工具使 Webshell 类攻击更加容易。脚本灵活的特点也对检测造成了巨大的挑战。

多样的传播方式

当前恶意软件主要传播手段为文件感染，云上系统服务一般通过漏洞利用，而终端用户则主要面临各式各样的钓鱼攻击。

• • 文件感染：感染型病毒的主要传播手段，感染代码寄生在可执行文件，文档文件，脚本文件内，通过文件下载，分发，聊天工具发送等传播。

• • 漏洞利用：云上服务被恶意病毒木马攻击的主要手段是弱密码，系统漏洞，应用漏洞。木马通过暴力破解，漏洞利用，攻击云上服务器，再进一步横向攻击其他机器。

• • 钓鱼木马：通过伪造成财务，常用工具软件钓鱼网页诱导用户访问下载木马，利用聊天软件，邮件等对特定用户发送具有诱导文件名的钓鱼文件。

2、恶意代码持续进化

安全软件和恶意代码的对抗从未停歇。免杀技术层出不穷。恶意代码免杀技术是指通过各种手段使恶意软件能够绕过杀毒软件和安全防护系统的检测，从而在目标系统中成功执行的技术。病毒作者也在持续更新免杀方法，躲避终端安全和云安全软件检测。

Webshell攻防

云上面临的对抗免杀能力最强的是Webshell类。WebShell不像二进制病毒，无需编译，可以直接以脚本形式运行，因此具有体积小、变形能力更强。简单的Webshell木马只一行代码。而通过函数加密编码，利用语言特性，拼接函数，利用回调等多种方法，可生成千变万化的Webshell。

一句话Webshell

参数字符拼接

借助加解密函

混淆变形

传统Webshell检测依靠脚本静态特征，但由于Webshell是纯脚本文件，语言多样，无需编译，灵活性高，通过语法变形、混淆绕过静态特征规则检测，令传统检测方法效果欠佳。

腾讯TAV的Webshell检测模块结合传统特征、静态分析、动态行为分析，三管齐下，支持主流脚本格式，全方位检测 PHP, JSP, ASP等各类Webshell。

TAV Webshell检测 整体方案

• • 语义理解：对代码进行词法语法解析，转化为 AST，再进一步转化为IR，最后在IR上提取控制流图和数据流图，用于污点分析。

• • 污点分析：将外界变量视为污点源，危险函数视 为污点汇聚点，在控制流图和数据流图上跟踪污点传播路径，判断污点是否汇聚。

• • 静态脱壳：基于传统脱壳技术，对已知的加密混淆方案进行专项处理，可以对市面上加密混淆进行“脱壳”处理。

• • 动态污点：动态污点技术，会监控样本中读取外界参数的行为，并将所有外界传入的变量 进行标记，对脚本中所有的变量传递和赋值的相关逻辑操作进行监控，实现污点传播的跟踪。

云上真实WebShell黑样本检测中，腾讯TAV的检出贡献率能达到99%以上。腾讯云主机安全产品（云镜）已全面接入腾讯TAV的WebShell检测能力，有效抵御腾讯云所面临的Webshell类攻击事件。

钓鱼木马攻防

终端场景下面临的最具挑战的就是钓鱼类木马，比如“银狐“木马家族。“银狐”持续活跃，以其高度隐蔽性和强大的破坏力而闻名。该家族病毒主要通过钓鱼邮件、社交媒体、假冒网站等多种途径传播。一旦目标终端被感染，运行权限即被黑客控制，最终造成终端用户的各类损失，如信息泄露、经济损害。

钓鱼木马常见运行流程

传播方式

• • 伪装为官网软件安装包，并且在搜索引擎购买相关服务，使对应钓鱼网站排名靠前，增强被下载的可能性。

• • 通过社交软件，拉群传播文件。

• • 通过钓鱼邮件方式，伪装正常文件文档（如电子发票）诱导下载执行。

文件免杀

• • 格式方面，除了常见的PE格式，还有CHM，.net，html，jpg。

• • 利用安装包，NSIS，INNO，MSI。

• • 语言方面，C\C++，C#，python，go都有出现。

• • 白加黑，利用白签名文件加载恶意DLL。

• • 加壳保护，VMP，UPX，私有壳，公开的安装部署框架。

远控执行

• • 内存解密Shellcode，加载远控模块。

• • Shellcode分离，从文件自身，资源，网络获取。

对抗手段举例

1、多语言结合，如早期就发现过利用非PE格式文件，如CHM文件 ，嵌入恶意代码，结合JS, C#
样本以开源工具“DotNetToJScript”将C#恶意加载器转成相应js脚本嵌入chm文件中执行，后续下载相关的白加黑组件加载Gh0st变种木马实现远程控制。

在双击压缩包中包含的CHM文件后，利用反序列化加载执行.NET程序，还会检测计算机上是否安装了.NET Framework，并根据检测结果设置相关的环境变量，从而执行不同的代码段。

在路径“C:\Users\Admin\Searches\”下创建长度32~64位字符名称的文件夹后，下载相关的白加黑文件存放在该路径，根据受害者系统位数，执行相应位数的shellcodeloader，执行整条攻击链“Svchost.exe->libcef.dll->libcef.png”。

通过读取加密的文件libcef.png，在内存中加载并使用自定义算法解密，在内存中解密出最终的恶意dll，执行远程控制等功能，样本存在gh0st相关的编译信息。

2、利用各种Zip, Inno, MSI, 小众安装包等，例如下面例子，Inno安装包 -> .bat组合->下载器->加载器->下载木马并执行。
攻击者编译易语言程序时使用非静态编译，必须附带相关支持库才能正常运行，所以通常会使用到“Inno Setup”或者“7zsfx”等打包软件进行打包。

双击后将其包含的文件释放到“C:\ajjnm”目录下，包含多个易语言支持库以及恶意代码执行组件。执行其中批处理脚本a.bat，将文件拼接起来组成完整可执行程序。

拼接出的appyhfg.exe为易语言编译程序，程序主要功能是从远程服务器中下载后续的恶意载荷，修复zy.txt文件头后，并加载到内存中执行。

3、多阶段静态免杀，内存解密恶意DLL，钓鱼木马使用crypt库解密dll并执行，dll执行过程中通过timer+时间判断进行虚拟执行对抗。
PE静态信息，可疑字符串

腾讯安全威胁情报中心TIX提供数据支持

调用内存解密后的黑dll导出函数

钓鱼木马检测技术

前往官网  https://tix.qq.com/

了解更多腾讯安全威胁情报中心产品矩阵