news 2026/7/8 3:01:08

【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)

前言

注:本项目为2026年1月底收尾,预期2026年2月发布,由于其中涉及的技术造成不可抗力的原因,故在今日发布。

2026年1月23日,Solar 应急响应团队接到客户求助,其内部安全运营中心(SOC)监测到终端触发“银狐”木马外联告警。经团队初步研判,确认该告警为真实攻击行为。

与之前发布的【银狐应急复盘】伪装搜狗输入法的银狐木马,从深度溯源到彻底清除的闭环响应实录不同,本次案例的排查难度显著提升。技术挑战在于:当Solar应急响应团队介入时,攻击者已执行了部分“痕迹抹除”操作:浏览器历史记录被清空、原始下载的 Telegram 安装包已被删除。在缺乏原始样本、取证条件极其有限的情况下,团队通过对受害机器进行深度取证与逆向还原,最终完成了从外联告警到攻击全链路的闭环溯源。

接下来,我们将围绕排查与行为分析、恶意程序逆向、病毒处置、复盘结论四个维度,还原这场在有限条件下的应急实战。

本次应急响应技术侧流程图

一、排查与行为分析

1.1 异常外联定位

根据告警情报,远控外联 IP 为47.243.84.182。经威胁情报系统检索,该 IP 尚未被标记为已知黑产基础设施,极有可能是银狐团伙最新启用的 C2(控制服务器)节点(建议自查并加入至防火墙黑名单策略)。

威胁情报系统对异常 IP 的多维度检索结果

Solar 应急响应团队进入现场后,利用系统监控工具对网络连接进行实时过滤。如图所示,发现系统进程tracerpt.exe正在与目标 IP 的 1080 端口建立持续连接。

通过火绒剑监控发现系统合法进程 tracerpt.exe 存在异常网络行为

技术疑点分析:tracerpt.exe是 Windows 原生的事件追踪日志转换工具。一个负责日志处理的系统工具为何会产生跨网段外联?基于实战经验,我们提出两种技术假设:

  1. 进程伪装:恶意程序直接重命名为系统文件名,试图蒙混过关(类似此前【银狐应急复盘】伪装搜狗输入法的银狐木马,从深度溯源到彻底清除的闭环响应实录案例中的Verifier.exe)。

  2. 进程注入/白加黑:恶意代码被注入到合法的tracerpt.exe内存空间中,借用系统白进程的身份绕过杀毒软件。

1.2 疑难取证:如何在无原始文件时提取样本?

在应急现场,常会遇到一种极端情况:恶意进程正在运行,但磁盘上的原始文件已被删除导致无法提取。此处涉及一个经典面试题:当异常进程表现为系统服务且无法直接获取样本时,如何进行静态分析?

经典应急响应面试题

其中之一的解决方案是利用内存 Dump 与模块导出技术。以 X64dbg 为例,可以通过其集成的 Scylla 插件,在进程运行时强行将其内存中的模块(如 DLL 或 EXE)Dump 出来,还原成静态文件。

以管理员权限启动 X64dbg 准备进行内存模块抓取

通过 Scylla 功能插件定位目标进程的内存映射

定位并选中与外联行为相关的异常模块(DLL)

执行 Dump 操作,将内存中的恶意代码还原为物理文件

知识点解析:

  • DLL 与 EXE 的关系:EXE 是程序的执行主体,而 DLL 是动态链接库。现代木马(如银狐)常采用“白加黑”架构,即一个合法的 EXE 加载一个恶意 DLL。

  • 提取逻辑:通过导出tracerpt.exe关联的异常tracerpt.exe.dll,我们将其上传至沙箱检测,结果确证其具备银狐木马特征。

云沙箱静态分析报告证实提取的 DLL 具有高危银狐木马特征

1.3 深度取证:寻找被抹除的攻击足迹

明确了进程注入的事实后,下一步是寻找“注入源”。虽然浏览器历史被删,但 Windows 系统的底层取证痕迹依然存在。团队利用 Solar 专业取证工具,对JumpList(跳转列表)Prefetch(预读取文件)进行了深度挖掘。

Solar 综合取证工具执行系统痕迹扫描

技术突破口:通过分析CustomDestinations文件夹中的 JumpList 记录,发现在 2026 年 1 月 9 日,系统曾运行过一个名为Telegram.exe的程序(银狐常伪装主流通讯程序、应用程序进行传播)。

JumpList 视图还原了已删除程序的运行记录

证据显示伪装成 Telegram 的安装程序曾被执行

定位到Telegram程序的关键触发时间点

Prefetch(.pf)文件视图证实了程序加载顺序

知识点补全:

  • CustomDestinations:位于%AppData%\...\Recent\CustomDestinations,记录了用户最近的操作习惯,即使原始文件被删,这里依然保存着执行记录。

  • .pf 文件:预读取文件记录了程序启动时加载的模块和时间,是判断程序是否存在及运行次数的关键证据。

结合SRUM(系统资源利用率报告)MFT(主文件表)日志,我们精准还原了攻击者的投毒路径:用户于 1 月 9 日在非官方渠道下载了名为TelegramInst_setup_x64_250106.exe的压缩包并执行。

SRUM 数据显示 msedge 进程在关键时间段存在大量异常下行流量

SRUM 流量 IO 统计记录

利用 Timsina Explorer 深度解析 MFT 日志中的文件创建记录

1.4 伪装细节识别

在系统日志中,我们发现该“Telegram”安装程序漏洞百出:拼写为Teleram(缺少 'g'),且开发者签名为NfHRRPGENKQJ,而非官方的Telegram FZ-LLC

Windows 事件日志捕捉到的异常安装记录

由于签名及包名低级错误导致的异常标识

在安装过程中,样本释放了一个名为OTGContainer.exe的关键组件。该程序伪装成“微软视窗图像升级助手”,实则具备持久化特征。

系统日志追踪到 OTGContainer.exe 的释放行为

可疑组件 OTGContainer.exe 被定位

我们通过 PowerShell 脚本对系统服务进行异常筛查,重点扫描位于AppData等非系统目录下的自启动服务。

# 筛选路径异常的系统服务 Get-WmiObject Win32_Service | Where-Object { $_.PathName -match "ProgramData|AppData|Temp" } | Select-Object Name, DisplayName, PathName, State

通过脚本筛选出路径异常的服务 Zowie951d475sbs

经查,该服务指向的正是OTGContainer.exe。尽管沙箱对该单个白文件未报错,但结合其所处环境,基本判定其为“白加黑”中的“白载体”。

微步云沙箱运行结果

二、 恶意程序逆向分析

2.1 文件信息梳理

组件角色

文件名

功能描述

MD5 指纹

白载体

OTGContainer.exe

正常签名程序,用于加载恶意 DLL

dd9c53633660213eb7d8cca3c2add9bb

恶意 DLL

libcurl.dll

劫持核心,负责解密并注入 Shellcode

6d0129128c6ee34a66a56afbb2a45bc7

注入器

FFLOADER.exe

最终实现对 tracerpt.exe 的注入

a0fd0e9190330729f5896b3900d2250b

加密 Payload

rbg

存放加密后的恶意 Shellcode 数据

31f731866d1e6244bfc64daab4f89491

恶意程序攻击流程图

2.2 逆向过程还原

1. OTGContainer.exe静态分析与加载逻辑:OTGContainer.exe是一个拥有合法数字签名的白程序。通过对该程序的导入表进行静态分析发现,其在启动过程中会静态加载同目录下的libcurl.dll。这是一种典型的DLL 劫持(DLL Hijacking)技术手段。

OTGContainer.exe(正常签名程序)

在调试环境中,可以清晰观测到该白程序启动后立即加载了位于非系统目录下的恶意 DLL 模块。

WOW64 processhasbeendetected(pid=4224) 8C0000:processC:\Users\Admin\Desktop\VGX\OTGContainer.exehasstarted(pid=4224) 77310000:loadedC:\Windows\SysWOW64\ntdll.dll 77300000:loadedC:\Windows\System32\wow64cpu.dll 759C0000:loadedC:\Windows\SysWOW64\KERNEL32.DLL 75AB0000:loadedC:\Windows\SysWOW64\KERNELBASE.dll 77160000:loadedC:\Windows\SysWOW64\USER32.dll 75E10000:loadedC:\Windows\SysWOW64\win32u.dll 75D00000:loadedC:\Windows\SysWOW64\GDI32.dll 76550000:loadedC:\Windows\SysWOW64\gdi32full.dll 76880000:loadedC:\Windows\SysWOW64\msvcp_win.dll 75230000:loadedC:\Windows\SysWOW64\ucrtbase.dll 75180000:loadedC:\Windows\SysWOW64\ADVAPI32.dll 77040000:loadedC:\Windows\SysWOW64\msvcrt.dll 77345A30:threadhasstarted(tid=2496) 749E0000:loadedC:\Users\Admin\Desktop\VGX\libcurl.dll 73FF0000:loadedC:\Windows\SysWOW64\MFPlat.DLL 16C0000:loadedC:\Windows\SysWOW64\sechost.dll UnloadedC:\Windows\SysWOW64\sechost.dll 75F10000:loadedC:\Windows\SysWOW64\cfgmgr32.dll 75930000:loadedC:\Windows\SysWOW64\shcore.dll 753C0000:loadedC:\Windows\SysWOW64\combase.dll 75F50000:loadedC:\Windows\SysWOW64\RPCRT4.dll 74950000:loadedC:\Windows\SysWOW64\MF.dll 74920000:loadedC:\Users\Admin\Desktop\VGX\bfcipc.dll 745F0000:loadedC:\Windows\SysWOW64\MFReadWrite.dll 748F0000:loadedC:\Windows\SysWOW64\dwmapi.dll 77345A30:threadhasstarted(tid=8080) 74480000:loadedC:\Windows\SysWOW64\WINSPOOL.DRV 745E0000:loadedC:\Windows\SysWOW64\MSIMG32.dll 76450000:loadedC:\Windows\SysWOW64\sechost.dll 75200000:loadedC:\Windows\SysWOW64\bcrypt.dll 76A60000:loadedC:\Windows\SysWOW64\SHELL32.dll 73DE0000:loadedC:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.19041.5915_none_a861f0a88675f0cd\COMCTL32.dll 76640000:loadedC:\Windows\SysWOW64\SHLWAPI.dll 756D0000:loadedC:\Windows\SysWOW64\ole32.dll 74400000:loadedC:\Windows\SysWOW64\UxTheme.dll 76690000:loadedC:\Windows\SysWOW64\OLEAUT32.dll 73C70000:loadedC:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.19041.5915_none_d94ce38de1086a9b\gdiplus.dll 75DE0000:loadedC:\Windows\SysWOW64\IMM32.dll 745B0000:loadedC:\Windows\SysWOW64\oledlg.dll 73810000:loadedC:\Windows\SysWOW64\WININET.dll 743D0000:loadedC:\Windows\SysWOW64\WINMM.dll 73660000:loadedC:\Windows\SysWOW64\dbghelp.dll 73620000:loadedC:\Windows\SysWOW64\IPHLPAPI.DLL 73550000:loadedC:\Windows\SysWOW64\dxgi.dll 748C0000:loadedC:\Windows\SysWOW64\VERSION.dll 734F0000:loadedC:\Windows\SysWOW64\OLEACC.dll 748B0000:loadedC:\Windows\SysWOW64\WTSAPI32.dll 73190000:loadedC:\Windows\SysWOW64\MFCORE.DLL 76960000:loadedC:\Windows\SysWOW64\CRYPT32.dll 73140000:loadedC:\Windows\SysWOW64\powrprof.dll 743C0000:loadedC:\Windows\SysWOW64\ksuser.dll 746B0000:loadedC:\Windows\SysWOW64\kernel.appcore.dll 73030000:loadedC:\Windows\SysWOW64\mfperfhelper.dll 73000000:loadedC:\Windows\SysWOW64\dbgcore.DLL 74A20000:loadedC:\Windows\SysWOW64\CRYPTBASE.DLL 76730000:loadedC:\Windows\SysWOW64\bcryptPrimitives.dll 72FD0000:loadedC:\Windows\SysWOW64\RTWorkQ.DLL 743B0000:loadedC:\Windows\SysWOW64\UMPDC.dll PDBSRC:loadingsymbolsfor'C:\Users\Admin\Desktop\VGX\OTGContainer.exe'...

此外,该程序具备特定的环境检测功能:它会主动检索当前路径下是否存在ffloader.exe。若检测命中,则会调用内部函数Sub_486850(功能定义为LaunchFFLOADER)。经逆向确认,该函数通过调用 Windows 标准 APIShellExecuteExW来拉起注入程序,且整个过程未触发 UAC 提权,隐蔽性极强。

逆向分析 Sub_486850 函数调用 ShellExecuteExW 的逻辑实现

2. libcurl.dll 入口点(DllMain)深度解析:对劫持 DLLlibcurl.dll的入口点进行动态调试。分析发现,其核心恶意行为在于读取同目录下的加密数据文件rbg

构造新的可执行文件路径

恶意代码加载rbg后,会执行一段自定义的解密算法,并将解密后的原始 Shellcode 数据流重定向写入到FFLOADER.exe进程空间中。

对目标文件进行读取、处理,并多次计算摘要

解密后的 Payload 数据被准备写入 FFLOADER.exe

3. FFLOADER.exe 注入行为分析:通过现场取证分析,发现该样本在执行过程中存在自毁或损坏迹象。解密出的 Payload 结果中,仅起始位置的0x1000字节为有效指令代码,其后半部分已全部被0x00填充。由于核心 Payload 数据的缺失,导致后续的完整功能逆向受阻,这也侧面反映了该银狐变种可能具备一定的反分析机制。

样本执行过程存在损坏迹象

2.3 收尾排查:全路径证据链闭环

基于上述逆向结论,我们对系统进行了最终的复核排查。整条攻击链路已清晰浮现:

1. 持久化层:恶意服务Zowieg951d475sbs确保OTGContainer.exe开机自启。

2. 执行层:OTGContainer.exe通过 DLL 劫持释放并拉起ffloader.exe

3. 注入层:ffloader.exe最终将恶意 Shellcode 注入到系统合规程序tracerpt.exe中(外联 IP:47.243.84.182:1080)。

追踪发现,在 2026 年 1 月 13 日 8:10 左右,受害机器上被注入后的tracerpt.exe出现了多次异常启动记录,这与前文提到的告警时间线完全吻合。

系统日志显示受感染的 tracerpt.exe 在 13 日存在高频异常启动

通过注册表分析,我们定位到了拉起“微软视窗图像升级助手”的恶意服务配置项。

注册表键值 HKLM\SYSTEM\CurrentControlSet\Services 下的恶意服务配置

系统日志记录了恶意服务 Zowieg951d475sbs 的启动行为

同时,在OTGContainer.log本地日志中,也成功提取到了该恶意组件运行时的各项行为轨迹。

OTGContainer.log 内部记录的组件加载与执行轨迹

三、 总结

结合全量取证日志分析,Solar 团队复盘了该次受害全过程: 用户于 2026年1月9日在使用 Edge 浏览器期间,被诱导下载了伪装成 Telegram 安装包的压缩文件。该样本利用“白加黑”架构绕过常规杀软监测,通过多级释放与进程注入技术,将恶意远控模块寄生在系统白进程tracerpt.exe中,最终实现了长达数日的潜伏外联。

四、 威胁处置建议

1. 彻底清除服务项:以管理员权限启动 CMD 或 PowerShell,执行以下命令强制删除恶意驻留服务:

sc delete Zowieg951d475sbs

2. 恶意文件深度清理:重启计算机以断开现有的内存注入连接,随后手动删除以下受污染路径:

C:\Users\XXX\AppData\Roaming\A8BB951EEB9A4CBBB612E19E9E3A5702\VGX

3. 行为监测与复核:利用网络工具确认是否仍存在 1080 端口的外联:

netstat -ano | findstr 47.243.84.182:1080

再次核查服务状态,确保清除彻底:

sc qc Zowieg951d475sbs

五、 附录:IOC 威胁情报指纹

目标名称

MD5

SHA256

OTGContainer.exe

dd9c53633660213eb7d8cca3c2add9bb

7f3711bf1fa9a0917c0932a21305ce90fcca8c9ebd98a496ac7a35ba197e7495

tracerpt.exe.dll

46475782db21f886ef941b1dc01cbf16

506c7692c71856cbc7cc17091e117b0c45da0d44c84c456b9494ca81b877ba71

libcurl.dll

6d0129128c6ee34a66a56afbb2a45bc7

0a68181a1419c444cae3f76f474472c0397782b02e4c4bd8d56dcf5626e4526c

FFLOADER.exe

a0fd0e9190330729f5896b3900d2250b

12400581583a1faef1fbcf223775939cc468a1a27ea346261278cb14cfe40a15

rbg (Payload)

31f731866d1e6244bfc64daab4f89491

4eaedd9bc5de9c64b8a173c9093f7fa3d4d82e863f347d51314c8b8042cbbf40

恶意 C2 IP:47.243.84.182

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/8 3:00:01

德语宣誓翻译认证怎么办理?费用多少?避坑全攻略

内容摘要:德语宣誓翻译认证办理可通过正规线上小程序、其他翻译平台完成,只需备好清晰证件材料、确认使用场景,线上提交即可办结。整体办理费用在400-500元,受文件类型、加急需求、纸质邮寄影响,全程流程简单、资质正规…

作者头像 李华
网站建设 2026/7/8 2:59:49

Redis基础day01

Redis 学习笔记 1. 核心特征 键值型:以 Key-Value 形式存储单线程:命令执行是单线程的(但持久化等有后台线程)基于内存:低延迟,速度快数据持久化:支持 RDB 和 AOF集群架构:支持主从集…

作者头像 李华
网站建设 2026/7/8 2:54:55

AI短剧的恐怖谷,为什么观众3秒就能识破?

为什么同样的短剧,有的让人欲罢不能,有的刷到就划走? 剧情、节奏都能达标,但画面一出来,观众就是留不住。不是他们"挑剔",是人类感知系统里有一套自动运行的检测机制,比任何审核算法都…

作者头像 李华
网站建设 2026/7/8 2:52:34

终极开源RGB控制指南:如何用一个软件统一管理所有设备灯光

终极开源RGB控制指南:如何用一个软件统一管理所有设备灯光 【免费下载链接】OpenRGB Open source RGB lighting control that doesnt depend on manufacturer software. Supports Windows, Linux, MacOS. Mirror of https://gitlab.com/CalcProgrammer1/OpenRGB. Re…

作者头像 李华
网站建设 2026/7/8 2:51:53

Claude/GPT 全模型 API 国内对接实践分享

背景最近在做一个 AI 项目,需要对接多个大模型 API,踩了不少坑,分享一些经验给大家。项目需求是对接 Claude 和 GPT 系列模型,用于内容生成和代码辅助。一开始直接对接官方 API,遇到了几个问题:1. 网络环境…

作者头像 李华
网站建设 2026/7/8 2:50:17

Codex 与编辑器怎么配合?终端、插件和项目工作区实践

🛠️ Codex CLI 不一定要替代编辑器,更适合和编辑器形成分工。 💡 终端负责分析和计划,编辑器负责 review、运行和最终修改,这样的工作流更稳定。 🚀 为什么这个主题值得单独讲 让 Codex CLI 与编辑器、插…

作者头像 李华