文章总结： 文档分析了一起银狐远控木马通过伪装sihost.exe进程进行外联攻击的案例，发现木马会释放隐藏文件、进行键盘记录并采用无文件落地注入技术。关键发现包括外联IP47.239.81.68、键盘记录文件路径C:/ProgramData/以及进程注入特征。建议立即重装系统、修改账号密码、提交样本给安全厂商并封禁远控IP。 综合评分： 87 文章分类： 恶意软件,应急响应,威胁情报,终端安全,漏洞分析

银狐-程序伪装-sihost.exe外联

原创

SharkJ0001 SharkJ0001

Neon-X Sec

2025年12月12日 19:22 河北

在小说阅读器读本章

去阅读

自从钉钉新增策略后也是有一段时间没遇到了，之前拉群发送钓鱼消息的情况也得到了遏制。

最近又排查了一起新的银狐远控事件，这次根据外联进程排查到是sihost.exe发起的外联，很明显该进程被恶意利用了，查sihost.exe引用的dll文件，没发现恶意的，没找到源头文件是什么（下载记录都查了，也用everything查近三个月的exe和压缩包文件都没发现异常）外联的IP是47.239.81.68，同时还发现本次木马的会进行键盘记录

如果有需要排查的伙伴，可以根据文章中外联、键盘记录文件位置、生成文件路径等特征去排查，文末有相关的建议。

想着不能就这么稀里糊涂的算了，然后在某社区找到了一个一样情况的样本，下面是样本测试的情况，首先样本是伪装成为正常程序的名称

先在沙盒里运行观察一下情况，可以看到，当其执行后会释放exe程序和dll文件（如果这里沙盒限制网络访问，就不会有dll文件和另一个文件生成）但是由于沙盒的限制导致调用WMI服务失败

使用外联看一下情况，可以看到发起外联的是3nk3u5FI9.exe，此时并不是sihost.exe，推测是因为这个WMI服务调用失败导致的未能进行进程注入

下面对比虚拟机测试情况，通过动态行为监测，监测到有exe文件生成

由于不受沙盒WMI限制，此时虚拟机中的外联对应的进程就是sihost.exe

但是在访问该文件夹双击时拒绝访问（隐藏文件+当前用户访问受限，使其运行环境更加隐蔽难以发现）

在上一级目录下是被特殊隐藏的

C:/Users/admin/AppData/Local/log/JYIwrxfx/

使用命令行 attrib -h -s /s /d  显示所有被隐藏的文件

此时双击文件夹去访问依然不允许访问，即便是以管理员身份也不行

点击安全选项卡或者右键文件夹的属性-安全给user添加写入权限

在C:\ProgramData下有一个字符命名串后缀log键盘记录文件

双击进入后发现依然是隐藏文件，重复上述操作即可（测试发现，将这三个文件删除后，重启不会再出现外联行为，有类似情况的可以尝试一下）

根据样本已知情况通过sihost.exe再次倒查，其所引用的dll文件未发现异常，这里推测使用的时无文件落地的注入技术，将 DLL 转为 shellcode 直接在内存执行，不落地磁盘，从这个角度出发去倒查是哪一个注入的和有点麻烦，我的想法就是内存分析、注册表、进程加载等方面入手，比较难，就没继续弄下去了，如果有大佬有更好的角度欢迎分享。

建议：

1.其实确认是银狐后，这种情况的建议重装系统，首先重装系统能够彻底解决当前的问题，其次，重装系统可以修改你磁盘当前不合理的分配，比如C盘爆红，相当于整理磁盘。

2.如果公司有购买杀软的，也可以将样本提交给对应的厂商，经厂商分析后升级或导入病毒库规则（在厂商没有反馈结果之前建议重装）同时在公司防火墙上第一时间封禁远控IP，避免被远控后造成的其他损失。

3.除了重装系统，因为这次的银狐会记录键盘，建议是把所有登录过的网站的账号密码进行修改，当然，之前中过的也建议修改，之前是没看到过这个被输出的银狐键盘记录文件，不代表没有。

4.个人电脑中招的话，如果有样本可以后台私信，不忙的话可以看看（没样本不确定能不能查出来）。如果不能提供样本的，建议下载官方杀软（有些杀软卸载不掉或者卸载不干净用之前多了解一下），更新规则库到最新进行查杀，如果没查出来，可以关机过几天规则更新可能就有了，规避被远控的风险，可以尝试在防火墙或者安全软件新建一条规则，禁止与远控IP通信，如果着急用还是重装吧。

那么就会有老板问了，没样本就不能查了吗，就会重装系统，其实能排查但是效率低结果又有不确定性，这里查能够找样本，封外联、守护进程、计划任务、隐藏账户等一系列的问题，但是不确定一定就排查干净，同时又要员工接受排查造成的不能办公，让员工配合排查，一问员工最近下载了什么点击了什么，要么是忘了，要么说的比谁都肯定什么都没有，拿工具查居然有七月份样本运行过的痕迹，他还在那说不是他运行的，综上重装系统是解决眼前问题最快最高效的解决办法。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《银狐-程序伪装-sihost.exe外联》