文章总结： 本文分析金眼狗APT近期攻击，指出其利用VirboxProtector加壳并复用银狐系Winos木马。攻击通过签名及白加黑技术绕过检测，经AWSS3下载载荷，实现反沙箱、键盘记录及内存远控。文章详述样本释放与解密流程，提供完整IOCs，建议加强针对签名滥用及异常内存行为的监测。 综合评分： 95 文章分类： 威胁情报,恶意软件,逆向分析

白加黑

通过分析，发现样本使用了白加黑技术，yyex.exe样本运行后，将加载当前目录下的crashreport.dll文件。

相关调试截图如下：

解密yyex.log

通过分析，发现crashreport.dll样本运行后，将加载并解密yyex.log文件，解密后yyex.log文件实际是一段shellcode，shellcode载荷中，存在一段压缩后的PE文件。

相关截图如下：

内存解密远控木马

通过分析，发现shellcode成功加载后：

• 将在内存中解压缩PE文件；
• 解压缩PE文件的MD5是69CECFC2549EAF971FA04212EC4A121D，与笔者《金眼狗（APT-Q-27）滥用AWS S3存储桶分发最新恶意载荷》文章中释放的远控木马Hash相同；
• 解压缩后的PE文件是一款隶属于金眼狗组织的远控木马，具备检查运行环境、内置C2地址、判断管理员权限、创建服务、远控指令等功能；

相关截图如下：

letsvpn-latest.exe

文件名称：letsvpn-latest.exe 文件大小：23015744 字节 文件版本：3.16.4.0 MD5     ：3D8F35E54A3DD41286738C8C2A9823BB SHA1    ：D8FE5C317D695733EC312C432CC39E861E46BF4B SHA256：124E8F7CA958FD8CB2A3BAF91681513F93F73D9CFA4EFEA6F4A1F165D8CBC8D9

释放文件

通过分析，发现此样本运行后，将从文件资源段中提取载荷数据，并将载荷数据拆分成多个文件，释放至%APPDATA%\Crash目录中。

相关截图如下：

释放样本信息如下：

| 文件名 | Hash | 数字签名 | | — | — | — | | letsvpn-latest.exe | 8505973D18396E2D8FB7AD77431971C0 | LetsGo Network Incorporated | | Crash.exe | 4F1408428019996A7B2782B1623FC9D9 | 合肥诺拉网络科技有限公司 | | Crash.ini | 401A6FE67CD97EF9AF5F17935E24E929 | | | qr.dll | 1524AA4964374EF3E3D210B618435E23 | Weihai Mingjun Information Technology Co., Ltd. | | libcurl.dll | 104DB8DDA726C646E393207F0BA589C1 | Weihai Mingjun Information Technology Co., Ltd. |

进一步分析，发现释放的文件均携带了数字签名，根据数字签名名称可确定与此次攻击活动相关的样本为libcurl.dll和qr.dll样本。相关截图如下：

创建计划任务

通过分析，发现此样本将通过Windows Task Scheduler COM接口创建计划任务，计划任务将在用户登录时触发：

• MicrosoftEdgeUpdate_QR：C:\Windows\System32\rundll32.exe “C:\Users\admin\AppData\Roaming\Crash\qr.dll”,StartQR
• MicrosoftEdgeUpdate_TenioDL：C:\Users\admin\AppData\Roaming\Crash\Crash.exe

相关截图如下：

加载程序

通过分析，发现样本运行后，将调用ShellExecuteW函数加载程序：

• 加载运行letsvpn-latest.exe程序，用以迷惑用户；
• 加载qr.dll文件：”C:\Windows\System32\rundll32.exe” “C:\Users\admin\AppData\Roaming\Crash\qr.dll”,StartQR

相关代码截图如下：

qr.dll-截屏

通过分析，发现qr.dll样本运行后，将周期性的截屏，并将截屏文件保存至C:\Users\Public\目录中。

实际运行过程中，笔者发现样本运行至GdiplusStartup函数处即会触发异常，导致截屏功能失败。

相关代码截图如下：

Crash.exe-白加黑

通过分析，发现Crash.exe实际是飞火壁纸（https://www.hfnuola.com/）FFWallpapersetup_guanwang_2.5.7.2.exe安装包中的CrashReporter.exe程序（md5相同）。

进一步分析，发现Crash.exe程序运行后，将加载本地目录下的libcurl.dll文件。

相关截图如下：

libcurl.dll-反调试/反分析

通过分析，发现libcurl.dll运行后，将篡改内存中已加载ntdll.dll的模块链表记录，从而实现绕过安全机制、隐藏自身或禁用某些防护功能。

相关代码截图如下：

libcurl.dll-键盘记录

通过分析，发现libcurl.dll运行后，将安装WH_KEYBOARD_LL键盘钩子，用以实现键盘记录功能，记录的数据将存放于C:\\Users\\Public\\keylog\\keylog.txt文件中。

相关代码截图如下：

libcurl.dll-内存加载Crash.ini

通过分析，发现libcurl.dll运行后，将读取本地目录下的Crash.ini文件内容，用于后续将其转换为shellcode加载。

相关代码截图如下：

Crash.ini文件内容倒置前，在其文件头中存放了Winos木马的配置信息，配置信息内容如下：

|p1:154.12.87.24|o1:800|t1:1|p2:154.12.87.24|o2:800|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:xx|bb:1.0|bz:2025.12.10|jp:1|bh:0|ll:0|dl:0|sh:0|kl:0|bd:0|

文件内容截图如下：

libcurl.dll-内存加载shellcode

通过分析，发现libcurl.dll运行后，将在内存中将Crash.ini文件内容倒置，并将其解析为shellcode载荷加载。

Crash.ini文件内容倒置后截图如下：

相关代码截图如下：

IOCs

#photo202512176896m.pif
A508358A0786DDF2AD9496BB9374D54E71C5044DF9C10FE686D43FC70484E54C

#crashreport.dll
F92EDAEB081CFD92D376CC96C4B57DFE

#yyex.log
B591EE37860F35A788B10531A00BBBD2

#letsvpn-latest.exe
124E8F7CA958FD8CB2A3BAF91681513F93F73D9CFA4EFEA6F4A1F165D8CBC8D9

#libcurl.dll
104DB8DDA726C646E393207F0BA589C1

#Crash.ini
401A6FE67CD97EF9AF5F17935E24E929

#qr.dll
1524AA4964374EF3E3D210B618435E23

154.12.87.24:800

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：T0daySeeker T0daySeeker《金眼狗（APT-Q-27）近期使用银狐系Winos木马的攻击活动》