2026-01-23 12:37:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 天穹沙箱捕获银狐家族复杂变种，该样本通过反调试与多阶段环境检测规避分析，伪装腾讯应用宝释放恶意载荷。攻击链利用内存反射加载、DLL侧载及PoolParty注入技术实现持久化与隐蔽通信。报告提供了详细IOC信息及YARA检测规则，建议及时部署以防御此类高级威胁。 综合评分： 95 文章分类： 恶意软件,威胁情报,逆向分析,免杀

cover_image

【天穹】层层递进，“狐”影随行

星图实验室星图实验室

奇安信技术研究院

2026年1月22日 16:51 北京

概述

近期，天穹沙箱团队在追踪银狐家族的攻击活动时，发现其最新样本采用了高度复杂且极具迷惑性的攻击链。该攻击链通过多阶段反调试检测、伪装合法软件安装、内存反射加载等技术，并结合隐蔽的进程注入与DLL侧载（DLL Side-Loading）等手段，以规避安全检测，实现持久驻留于受害者主机。

样本信息

样本名： Rar0092_v3.53.278_2xdcey.exe
SHA1：50715a3abd66e17654255b7881b035d006dce605
文件类型：EXE
文件大小：127.03 MB
家族归属：银狐家族
报告链接：(https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=f5a88f0b8dac93bf0a307282ba2c9d86&sk=91675144)

样本分析

该样本具备高度隐蔽性，在执行过程中反复侦测运行环境，其执行逻辑具有明显的多层次、复杂化特征。天穹智能化沙箱系统凭借其全链路行为深度建模与动态分析能力，成功完整捕获并解析了该样本从初始释放、伪装执行、多阶段内存加载到最终持久化与 C2 通信的全过程。系统不仅精准识别了其反调试、环境探测、权限提升等规避行为，还完整提取了各阶段解密后的恶意载荷。以下结合沙箱动态分析结果细致分析样本的恶意行径。

图1 攻击流程

1、反调试检测

首先，样本运行后先检测自身是否处于调试状态，通过检查 PEB->BeingDebugged 字段识别当前是否被用户态调试器附加调试。接着，调用 NtQuerySystemInformation(SystemBasicInformation) 接口获取当前系统基本信息，检测 CPU 核心数量是否满足 >= 3 核，以及物理内存大小是否满足 >= 3G，样本依据上述硬件配置判断是否处于沙箱分析环境。

图2 反调试检测

当以上检测要求通过后，样本开启真正的恶意能力释放。为保护自身核心代码和逻辑不被轻易窥探，外部函数调用均通过手动查找 LDR 链表获取模块基址，再解析 PE 头获取函数地址，增加函数调用的隐蔽性。这类多层环境感知检查被深度内嵌在代码执行流的关键节点上，形成贯穿始终的对抗屏障，阻碍安全人员的动态调试和静态分析。

2、伪装安装程序

环境检测通过后，样本再度检查自身是否具有管理员权限，权限满足后会在 C:\\ProgramData 目录下创建随机字符串的目录，并释放多个文件：

app.exe._ (MD5：f041793908111b5395226bc9ed5e6698)README.md (MD5：daa5414f94d8f43925efffd79979cf75)View.dat (MD5：c2db56df94b92d6370c87303d1506f54)Web.dat (MD5：937ab7f863261a046ba3dd46df7cb270)åº ç ¨å® .exe (MD5：34f435f15a846ae677f88ea412c074d1)View.conf (MD5：85fac9d703132b9a28beb11d8ec3d181)

图3 创建目录释放文件

其中 åº ç ¨å® .exe (MD5：34f435f15a846ae677f88ea412c074d1) 为腾讯应用宝的可信安装程序，其余文件为样本后续阶段运行的加密 payload。为掩盖程序真实意图，样本在释放恶意文件后，调用 WdcRunTaskAsInteractiveUser 接口运行腾讯应用宝安装程序，制造正常操作的假象，欺骗用户。随后，样本隐蔽地拉起 app.exe 进程，进入下一阶段的恶意操作。

图4 伪装程序

3、Payload 加载与执行

第一阶段： View.dat 文件 payload 为 raw 数据，样本通过 VirtualAlloc 分配内存，将 payload 解密后写入内存，并调用 CreateThread 函数创建线程执行该段 payload。解密后的 payload 是一段具备内存反射加载 PE 文件功能的 shellcode，会加载 raw 数据中夹带的 DLL 文件，并调用其入口函数 DllEntryPoint 进入下一阶段逻辑。

图5 加载 payload

第二阶段： 内存加载的 DLL 文件注册服务并运行 svchost.exe 进程，并注入其他两个文件中包含的 payload (app.exe._ 和 View.dat)

图6 注入 payload

值得说明的是，在本阶段执行注入操作时样本会判断运行环境，高版本 Windows 系统将使用 PoolParty (泳池派对) 注入技术。注入的恶意代码会在用户目录下释放两个文件：WebViewHelper.exe 和 libcef.dll，其中 WebViewHelper.exe 为具备合法签名的白文件，被用来加载黑文件 libcef.dll，达到混淆视听的目的。

图7 释放文件

svchost.exe 进程通过自启动服务方式运行重命名之后的 WebViewHelper 进程，进入下一阶段逻辑。

第三阶段： WebViewHelper 进程加载的恶意 DLL 文件 (libcef.dll) 会进行一系列的环境检测，包括判断运行环境、所属 session 以及管理员权限等，检测通过后与 C2 服务器建立通信。

图8 环境检测

图9 网络通信

图10 样本攻击链

整个攻击链逻辑错综复杂，层层递进，分析难度极大。同时，攻击者通过伪装合法安装程序、利用白文件加载黑文件等方式混淆视听，进一步干扰了用户和安全人员的判断。

IOC

恶意文件（MD5）

481577b35e4d09510c49d78f5c3fa98c&nbsp;Rar0092_v3.53.278_2xdcey.exe0c0d6806bb8caf68d4dfa5208db52a17&nbsp;app.exef041793908111b5395226bc9ed5e6698&nbsp;app.exe._daa5414f94d8f43925efffd79979cf75&nbsp;README.mdc2db56df94b92d6370c87303d1506f54&nbsp;View.dat937ab7f863261a046ba3dd46df7cb270&nbsp;Web.dat34f435f15a846ae677f88ea412c074d1&nbsp;åº ç ¨å® .exe85fac9d703132b9a28beb11d8ec3d181&nbsp;View.confc154442ddf6363b6ac5822e47028d672&nbsp;WebViewHelper.exe74be16979710d4c4e7c6647856088456&nbsp;libcef.dll

恶意IOC

192.238.201.32[:]30009&nbsp;C2 地址

报告链接

分析报告：(https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=f5a88f0b8dac93bf0a307282ba2c9d86&sk=91675144)

检出规则

天穹沙箱已针对该银狐变种样本编写如下YARA规则，供用户参考使用：

rule Trojan_SilverFox{meta:description =&nbsp;"银狐变种的检测"date =&nbsp;"2026-01-04"strings:$seq1 = { 81 E2 FF 00 00 00 03 C2 25 FF 00 00 00 2B C2 88 04 24 48 63 44 24 04 48 8B 4C 24 20 8A 04 01 88 44 24 01 0F B6 04 24 48 63 4C 24 04 48 8B 54 24 20 4C 8B 44 24 20 41 8A 04 00 88 04 0A 0F B6 04 24 48 8B 4C 24 20 8A 54 24 01 88 14 01 }$seq2 = { 81 E2 FF 00 00 00 03 C2 25 FF 00 00 00 2B C2 48 8B 4C 24 20 88 81 01 01 00 00 48 8B 44 24 20 0F B6 80 00 01 00 00 48 8B 4C 24 20 8A 04 01 88 04 24 48 8B 44 24 20 0F B6 80 01 01 00 00 48 8B 4C 24 20 0F B6 89 00 01 00 00 48 8B 54 24 20 4C 8B 44 24 20 41 8A 04 00 88 04 0A 48 8B 44 24 20 0F B6 80 01 01 00 00 48 8B 4C 24 20 8A 14 24 88 14 01 48 8B 44 24 20 0F B6 80 00 01 00 00 48 8B 4C 24 20 0F B6 04 01 48 8B 4C 24 20 0F B6 89 01 01 00 00 48 8B 54 24 20 0F B6 0C 0A 33 C1 }condition:all of them}

技术支持与反馈

天穹智能分析平台（联系我们申请账号）：https://sandbox.qianxin.com

天穹智能分析平台持续迭代升级，致力于为每一位样本分析人员打造更高效、更智能、更易用的分析平台——这始终是我们不变的初心与追求。

如果您希望深入了解平台功能，或在使用过程中遇到任何问题，欢迎随时联系我们。您的反馈，是我们进步的重要动力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信技术研究院星图实验室星图实验室《【天穹】层层递进，“狐”影随行》