科技獵騰訊iOA EDR:全方位狙擊銀狐木馬,破解“釣魚+免殺”組合拳
近年來, 一款名為“銀狐木馬”(又稱“游蛇”)的惡意程序在國內(nèi)及亞太地區(qū)悄然肆虐 ,其攻擊目標(biāo)精準(zhǔn)鎖定政府機(jī)構(gòu)、 金融 、醫(yī)療及制造業(yè)的高價(jià)值崗位人員(如財(cái)會、高管等), 以狡猾的偽裝手段和復(fù)雜的技術(shù)鏈條,成為企業(yè)安全防御體系中的“隱形炸彈” 。
據(jù)悉,這是一種具有高度隱蔽性和復(fù)雜功能的惡意軟件,“毒如其名”,善于偽裝,就像一只狡猾的狐貍,潛伏在財(cái)稅/政務(wù)領(lǐng)域,常常偽裝成“財(cái)會發(fā)票”“稅務(wù)稽查通知”“企業(yè)福利補(bǔ)貼名單”等文件,以迷惑用戶點(diǎn)擊。其傳播渠道廣泛,包括 微信 群、釣魚郵件、各類 社交 媒體 等,還利用搜索引擎競價(jià)排名、SEO引流等手段誘導(dǎo)用戶下載,使用戶防不勝防。
“狡詐銀狐”持續(xù)進(jìn)化 ? 入侵手段層出不窮
自2019年首次曝光以來, 銀狐已迭代多個(gè)版本,持續(xù) 增強(qiáng)免殺對抗 與持久化駐留能力 。最新變種在攻擊手段上更為狡猾和復(fù)雜,它充分利用人性弱點(diǎn),偽裝吸引用戶點(diǎn)擊下載到 PC 上,并通過多階段內(nèi)存加載、白加黑劫持、驅(qū)動級對抗等先進(jìn)技術(shù)手段,巧妙地規(guī)避殺軟檢測,形成了 “傳播-駐留-竊密”的全鏈路攻擊閉環(huán) 。一旦獲得終端權(quán)限,銀狐或潛伏監(jiān)視,長期收集用戶數(shù)據(jù),或直接操控受害機(jī)器拉群傳播木馬和實(shí)施二維碼詐騙,直接威脅企業(yè)核心資產(chǎn)與個(gè)人隱私安全,堪稱企業(yè)安全的“隱形炸彈”。
當(dāng)前,銀狐入侵手段層出不窮,最新版本通過四大手段突破傳統(tǒng)防御:
一是偽造官方機(jī)構(gòu)通知,借時(shí)事熱點(diǎn)釣魚 。銀狐團(tuán)伙擅長結(jié)合政策節(jié)點(diǎn)偽造“稅務(wù)局”“財(cái)政部”等官方文件,例如在稅務(wù)稽查高峰期,通過郵件、短信發(fā)送釣魚鏈接,頁面仿真度極高,誘導(dǎo)受害者點(diǎn)擊后自動下載木馬程序。
二是社交 平臺廣 撒網(wǎng),釣魚 文件秒變“病毒快遞” 。 通過社交渠道發(fā)送釣魚文件和二維碼,直接在微信群、QQ群等群組中傳播虛假鏈接,迅速擴(kuò)大感染范圍。2025年上半年,已有多家企業(yè)員工受害,銀狐團(tuán)伙通過工作群傳播詐騙信息,進(jìn)而盜取員工財(cái)產(chǎn)。
釣魚二維碼/微信群轉(zhuǎn)發(fā)
三是高仿辦 公軟件 下載頁,精準(zhǔn) 捕捉職場需求 。 銀狐團(tuán)伙還深諳國內(nèi)辦公習(xí)慣,復(fù)刻官網(wǎng)構(gòu)造各類軟件下載仿冒頁面,如緊跟時(shí)事仿冒DeepSeek本地部署等常見辦公軟件,未仔細(xì)分辨的用戶極易不慎下載木馬。
緊跟時(shí)事,仿冒DeepSeek本地部署
各種仿冒辦公軟件
四是云存儲平臺隱身術(shù),令溯源追蹤難上加難。 為規(guī)避安全監(jiān)測,銀狐將惡意程序偽裝成“行業(yè)報(bào)告”“設(shè)計(jì)素材”“學(xué)習(xí)資源”等文件,托管至知名網(wǎng)盤或云服務(wù)商的對象存儲服務(wù)(OSS,Object Storage Service)。由于云平臺IP動態(tài)分配且資源鏈接分散,安全團(tuán)隊(duì)難以通過傳統(tǒng)IP封禁或域名攔截手段溯源,形成“下載即中毒,中毒難追責(zé)”的攻擊閉環(huán)。
網(wǎng)盤中掛載的銀狐
騰訊 iOA ?EDR實(shí)戰(zhàn) ? 助力企業(yè)“精準(zhǔn)獵狐”
第一幕:偽裝正常軟件悄然潛入
近期,騰訊iOA團(tuán)隊(duì)就幫助某 游戲 開發(fā)公司成功定位并阻斷銀狐攻擊。公司內(nèi)部人員在網(wǎng)絡(luò)上下載了某軟件安裝包,當(dāng)用戶點(diǎn)擊安裝時(shí),騰訊iOA EDR的內(nèi)核探針?biāo)查g捕獲異常行為:未簽名的lets-3.12.3.exe正釋放可疑的msi安裝包,此處就已觸發(fā)了EDR告警,可以清晰地看到,EDR界面詳細(xì)地展示了攻擊詳情,包括進(jìn)程命令行、文件名、文件路徑等信息。
具體來說,銀狐木馬偽裝入侵,在初始階段即被iOA及時(shí)發(fā)現(xiàn)。 首先,安裝包簽名過期。 EDR的文件信譽(yù)系統(tǒng)采集到該安裝包無有效簽名,同時(shí)關(guān)聯(lián)圖引擎追溯到文件源于Edge瀏覽器的異常下載,形成“瀏覽器-惡意文件-釋放行為”的初始攻擊鏈證據(jù)。 其次,檢測到連鎖惡意操作。 可疑安裝包在執(zhí)行時(shí)觸發(fā)了連鎖惡意動作——msiexec.exe應(yīng)用調(diào)用cmd.exe啟動了hotdog.exe,該程序正是被銀狐改造的黑客工具Nidhogg,該工具正嘗試通過“進(jìn)程保護(hù)”繞過常規(guī)殺毒軟件檢測,iOA及時(shí)發(fā)現(xiàn)并幫助用戶快速處置。
安裝包簽名過期
連鎖惡意操作
第二幕: 內(nèi)核級探針 捕獲異常行為鏈
與此同時(shí),銀狐木馬在入侵電腦的C:\Program Files (x86)\Windows NT目錄下植入tprotect.dll驅(qū)動,并創(chuàng)建自啟動服務(wù)“CleverSoar”,準(zhǔn)備為下一步非法外聯(lián)做準(zhǔn)備,誰料一系列的動作都被iOA納于眼底,立刻觸發(fā)了一條EDR告警。
接下來,EDR持續(xù)發(fā)威,異常行為被持續(xù)關(guān)聯(lián),溯源鐵證逐步浮現(xiàn)。msiexec → cmd → hotdog的異常情況被完整記錄,命令行參數(shù)顯示正執(zhí)行“process add 6772”等攻擊指令;同時(shí),銀狐木馬寫入注冊表的隱藏計(jì)劃任務(wù)被EDR及時(shí)發(fā)現(xiàn)并實(shí)時(shí)攔截,盡管銀狐木馬注冊表項(xiàng)描述偽裝為“Microsoft”,但路徑與時(shí)間戳仍然暴露了其惡意屬性,進(jìn)一步坐實(shí)了攻擊證據(jù)。
進(jìn)程調(diào)用鏈條全鏈路展示
持久化證據(jù)確鑿
第三幕:多維度檢測阻斷攻擊閉環(huán)
同一時(shí)間,銀狐木馬所關(guān)聯(lián)的runtime.exe進(jìn)程嘗試連接域名8004.twilight.zip,一旦外聯(lián)成功,PC將被黑客遠(yuǎn)程控制,千鈞一發(fā)之際,EDR通過騰訊威脅情報(bào)庫精準(zhǔn)識別,確認(rèn)外聯(lián)端為銀狐C2控制端,并及時(shí)在控制臺產(chǎn)生對應(yīng)告警信息。
EDR防御矩陣同步啟動:
終端行為阻斷 :iOA成功攔截了MSI文件的釋放,終止了惡意進(jìn)程hotdog.exe,并將其隔離至沙箱。同時(shí),通過識別tprotect.dll驅(qū)動的簽名時(shí)間與系統(tǒng)環(huán)境的沖突,并借助iOA圖引擎追溯到文件源頭,形成了完整的初始攻擊鏈證據(jù)。
持久化清除: 安全研判介入后,迅速下發(fā)終端響應(yīng)任務(wù),刪除了注冊表Tree路徑下的隱藏任務(wù)項(xiàng),并修復(fù)了被篡改的計(jì)劃任務(wù)配置。此外,還停止了CleverSoar服務(wù)并清除了驅(qū)動文件,有效阻斷了內(nèi)核級駐留。
外聯(lián)行為阻斷: EDR基于威脅情報(bào)實(shí)時(shí)阻斷了C2域名解析,禁止可疑進(jìn)程聯(lián)網(wǎng),并生成了詳細(xì)的網(wǎng)絡(luò)訪問日志,記錄了惡意IP的通訊企圖。
通過以上自動化手段, iOA 構(gòu)建起一整套智能防御體系 ,并在本次實(shí)戰(zhàn)攻防演練中成功抵御銀狐木馬的高強(qiáng)度攻擊,充分展現(xiàn)了 “主動防御+智能響應(yīng)” 的創(chuàng)新安全防護(hù)理念。
全鏈路可見性: 完整記錄從釣魚文件下載到C2通信的全流程事件,通過溯源圖直觀呈現(xiàn)攻擊鏈各環(huán)節(jié),為安全復(fù)盤提供堅(jiān)實(shí)證據(jù)。
多層級對抗能力: 內(nèi)核級探針+行為分析+威脅情報(bào),形成立體防御體系,有效應(yīng)對銀狐木馬如“多階段內(nèi)存加載 + 驅(qū)動級對抗”等高級攻擊手段。
自動化響應(yīng)效率: 騰訊iOA EDR通過預(yù)設(shè)響應(yīng)策略,實(shí)現(xiàn)“秒級檢測+分鐘級處置”,顯著降低安全團(tuán)隊(duì)的應(yīng)急響應(yīng)壓力。
攻防對抗 ? 持久戰(zhàn)未歇
網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,這是一場永不停歇的持久戰(zhàn),需要行業(yè)各方協(xié)同應(yīng)對。針對當(dāng)前銀狐木馬的日益猖獗,騰訊iOA團(tuán)隊(duì)聯(lián)合科恩實(shí)驗(yàn)室特別提醒:
提高警惕,謹(jǐn)防釣魚攻擊: 切勿隨意打開來歷不明的鏈接、點(diǎn)擊接收未知來源的郵件附件或下載安裝非可信渠道的應(yīng)用,對微信群、QQ 群等社交媒體傳播的非官方通知和程序保持高度警惕;
謹(jǐn)慎處理敏感信息: 涉及個(gè)人敏感信息輸入(如銀行卡號、 手機(jī) 驗(yàn)證碼等)或錢財(cái)轉(zhuǎn)賬時(shí),務(wù)必謹(jǐn)慎核對信息來源與用途,確保操作安全合法;
及時(shí)部署安全軟件: 建議部署企業(yè)級終端安全軟件,開啟釣魚防護(hù)和實(shí)時(shí)監(jiān)控功能,并保持系統(tǒng)與安全軟件版本及時(shí)更新,以具備最新防護(hù)能力。
同時(shí),騰訊iOA為不同規(guī)模的用戶提供了兩套銀狐木馬防護(hù)解決方案:
針對500點(diǎn)以下的中小企業(yè)用戶, 騰訊 iOA 基礎(chǔ)版永久免費(fèi)開放 ,提供完整的病毒查殺、釣魚防護(hù)、終端加固等安全能力,滿足中小企業(yè)的終端安全防護(hù)需求。
針對500點(diǎn)以上的中大型企業(yè),騰訊iOA也可以提供免費(fèi)試用,在基礎(chǔ)安全防護(hù)能力之上,還額外提供 終端檢測與響應(yīng)EDR模塊 ,配套 騰訊安全 專家在線 研 判服務(wù) ,讓各類高級安全威脅無所遁形!
掃描下方海報(bào)二維碼,即可快速開通騰訊iOA基礎(chǔ)版,永久免費(fèi)使用!
