2025-12-22 04:46:21 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分析了银狐恶意软件的最新变种，该恶意软件伪装成sihost.exe进程发起外联，使用无文件落地注入技术，具有键盘记录功能，并将恶意文件隐藏在特定目录下。作者通过沙盒和虚拟机测试对比，展示了恶意软件在不同环境下的行为差异。文章提供了排查方法，包括检查外联IP47.239.81.68、查找隐藏文件和键盘记录文件等。对于已感染系统，建议重装系统、修改密码、使用杀毒软件查杀，并在防火墙封禁远控IP。 综合评分： 85 文章分类： 恶意软件,应急响应,漏洞分析,终端安全,威胁情报

cover_image

银狐-程序伪装-sihost.exe外联

原创

SharkJ0001

Neon-X Sec

2025年12月12日 19:22 河北

自从钉钉新增策略后也是有一段时间没遇到了，之前拉群发送钓鱼消息的情况也得到了遏制。

最近又排查了一起新的银狐远控事件，这次根据外联进程排查到是sihost.exe发起的外联，很明显该进程被恶意利用了，查sihost.exe引用的dll文件，没发现恶意的，没找到源头文件是什么（下载记录都查了，也用everything查近三个月的exe和压缩包文件都没发现异常）外联的IP是47.239.81.68，同时还发现本次木马的会进行键盘记录

如果有需要排查的伙伴，可以根据文章中外联、键盘记录文件位置、生成文件路径等特征去排查，文末有相关的建议。

想着不能就这么稀里糊涂的算了，然后在某社区找到了一个一样情况的样本，下面是样本测试的情况，首先样本是伪装成为正常程序的名称

先在沙盒里运行观察一下情况，可以看到，当其执行后会释放exe程序和dll文件（如果这里沙盒限制网络访问，就不会有dll文件和另一个文件生成）但是由于沙盒的限制导致调用WMI服务失败

使用外联看一下情况，可以看到发起外联的是3nk3u5FI9.exe，此时并不是sihost.exe，推测是因为这个WMI服务调用失败导致的未能进行进程注入

下面对比虚拟机测试情况，通过动态行为监测，监测到有exe文件生成

由于不受沙盒WMI限制，此时虚拟机中的外联对应的进程就是sihost.exe

但是在访问该文件夹双击时拒绝访问（隐藏文件+当前用户访问受限，使其运行环境更加隐蔽难以发现）

在上一级目录下是被特殊隐藏的

C:/Users/admin/AppData/Local/log/JYIwrxfx/

使用命令行 attrib -h -s /s /d 显示所有被隐藏的文件

此时双击文件夹去访问依然不允许访问，即便是以管理员身份也不行

点击安全选项卡或者右键文件夹的属性-安全给user添加写入权限

在C:\ProgramData下有一个字符命名串后缀log键盘记录文件

双击进入后发现依然是隐藏文件，重复上述操作即可（测试发现，将这三个文件删除后，重启不会再出现外联行为，有类似情况的可以尝试一下）

根据样本已知情况通过sihost.exe再次倒查，其所引用的dll文件未发现异常，这里推测使用的时无文件落地的注入技术，将 DLL 转为 shellcode 直接在内存执行，不落地磁盘，从这个角度出发去倒查是哪一个注入的和有点麻烦，我的想法就是内存分析、注册表、进程加载等方面入手，比较难，就没继续弄下去了，如果有大佬有更好的角度欢迎分享。

建议：

1.其实确认是银狐后，这种情况的建议重装系统，首先重装系统能够彻底解决当前的问题，其次，重装系统可以修改你磁盘当前不合理的分配，比如C盘爆红，相当于整理磁盘。

2.如果公司有购买杀软的，也可以将样本提交给对应的厂商，经厂商分析后升级或导入病毒库规则（在厂商没有反馈结果之前建议重装）同时在公司防火墙上第一时间封禁远控IP，避免被远控后造成的其他损失。

3.除了重装系统，因为这次的银狐会记录键盘，建议是把所有登录过的网站的账号密码进行修改，当然，之前中过的也建议修改，之前是没看到过这个被输出的银狐键盘记录文件，不代表没有。

4.个人电脑中招的话，如果有样本可以后台私信，不忙的话可以看看（没样本不确定能不能查出来）。如果不能提供样本的，建议下载官方杀软（有些杀软卸载不掉或者卸载不干净用之前多了解一下），更新规则库到最新进行查杀，如果没查出来，可以关机过几天规则更新可能就有了，规避被远控的风险，可以尝试在防火墙或者安全软件新建一条规则，禁止与远控IP通信，如果着急用还是重装吧。

那么就会有老板问了，没样本就不能查了吗，就会重装系统，其实能排查但是效率低结果又有不确定性，这里查能够找样本，封外联、守护进程、计划任务、隐藏账户等一系列的问题，但是不确定一定就排查干净，同时又要员工接受排查造成的不能办公，让员工配合排查，一问员工最近下载了什么点击了什么，要么是忘了，要么说的比谁都肯定什么都没有，拿工具查居然有七月份样本运行过的痕迹，他还在那说不是他运行的，综上重装系统是解决眼前问题最快最高效的解决办法。

查看原文：《银狐-程序伪装-sihost.exe外联》