银狐木马阴云迭起，微信网盘等成投毒跳板，360实现全面截杀360宏病毒投毒银狐木马

近期，360安全大模型监测到大量用户正遭遇银狐木马发起的网络攻击，其中企事业单位管理人员、财务人员、销售人员及电商卖家更是重点关照“对象”。

百变“毒王”猖獗作恶

传播手段千变万化

此外，其还擅长使用白利用、内存loader等技术手段，实现多阶段投递，并使用云笔记存储payload数据，这导致了其能够迅速传播和潜伏在系统中，具备高度隐蔽性和复杂的功能。为能够高效传播扩散，银狐木马的伎俩千变万化，以下为几大典型的投毒场景：

巧借搜索引擎SEO诱骗

借用搜索引擎SEO推广是银狐木马的惯用伎俩之一，其将流量吸引至自行构建的虚假站点，再通过虚假站点的误导性内容进行钓鱼传播。

一旦有用户陷入误导，便会跟随虚假指引下载木马安装包，主动安装木马。这类投放方式面向的是普通大众，而虚假站点通常也是直接仿冒各类知名大站，普通用户往往难辨真伪。

某搜索引擎中搜索到的虚假钓鱼站点

虚假钓鱼站点页面

伪装为SecureCRT的银狐木马下载页面

钓鱼页面定向投放

在钓鱼页面传播，攻击者则更倾向于针对企业职员进行定向投递。税务稽查类钓鱼页面通常是此类钓鱼攻击实施中的核心一环。攻击者一般通过聊天软件、邮件、短信等方式发送欺诈链接给用户，诱骗用户打开，进而下载木马。

网盘/OSS挂载木马包

很多银狐木马在对抗过程中改用了网盘或云服务商提供的ObjectStorageService(OSS)来挂载木马。这样也让防护人员很难根据站点IP或域名进行封禁或者溯源，而在木马下载链条中，只能对单个下载页面进行相对精准的定位和封禁。

花式招数对抗安全软件

机关算尽只为长期驻留

在完成钓鱼传播后，木马还要对抗安全软件，实现长期驻留控制用户电脑。主要对抗方式有：

利用RPC管道远程创建计划任务与服务

服务和计划任务是木马攻击中非常常见的驻留手段，银狐木马通过构造RPC数据包和构造RpcStringBindingComposeW函数调用两种方法，针对传统RPC管道方式创建计划任务进行了改进，有效规避了常规杀毒软件、EDR产品的监测。

SecLogon伪造父进程

利用SecLogon滥用方法，银狐木马可以实现伪造父进程，构造一个错误的进程链，迷惑安全软件，从而绕过安全软件的拦截。

发送消息尝试结束安全软件

银狐木马在进入机器后，可能也会遍历窗口，查找安全软件，并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。

模拟点击安全软件拦截弹窗

银狐木马在运行生命周期中会创建一个辅助线程，用于循环查找安全软件的拦截弹窗。一旦出现安全软件拦截弹窗，便模拟用户操作来点击“允许”按钮，从而规避拦截。

PoolParty注入技术

银狐木马也会利用PoolParty注入技术代替常规的代码注入方法，将代码注入到系统进程中执行，规避安全软件拦截。

此外，木马还会利用一些安全软件、系统维护工具的驱动，以及软件兼容性策略等来逃避安全软件的查杀拦截，欺骗手段让人防不胜防。

躲避杀毒软件扫描查杀

常见的木马驻留方式，主要是Run自启动项、服务项目、计划任务等。这些方式银狐木马中也都有体现，但银狐木马对其进行了一些“创新”。

利用系统程序，

加参数脚本实现启动。

利用系统中程序实现特定功能，这在木马攻击中非常普遍，银狐木马会选择一些较少被使用到的程序实现该方法。比如，木马连环利用FTP静默执行特定脚本的方式，就可以实现在没有常规木马文件落地的情况下实现驻留。

利用企业管控软件、

安全软件实现长期驻留

企业管理管控软件属于正规软件，一般不会被安全软件检出和清理。同时这类软件本身具有防卸载、防关闭的能力。银狐木马驻留后不久，就会迅速向用户电脑安装这类软件，实现长期控制。

目前，银狐类木马主要还是集中于“信息窃取”，利用其掌控的电脑，收集用户的个人信息以及企业信息，伺机发起诈骗。因此，银狐木马特别偏爱企业职工——尤其是企业财务人员。

除了用于诈骗外，窃取虚拟货币，以及利用被控制的“肉鸡”实施挖矿，进行DDoS攻击也在部分银狐木马的“菜单”中。

构建数字安全防御体系

360全面抵御银狐威胁

基于多年攻防实战经验和能力，360推出基于安全大模型赋能的银狐病毒防护实战化解决方案，将云化数据、探针、专家、平台和大模型能力开放给广大客户，构建了有效预警、全面防护、持续监测、智能处置的数字安全能力体系，实现了对入侵病毒的安全检测、安全分析、安全响应处置效率飙升，人效提升可达50%以上，安全运营各项指标效率提高100%以上。

这套方案主要是由360企业安全浏览器、360终端安全管理系统、360安全云组成：

360企业安全浏览器：基于180亿+恶意网址数据库，每日拦截超过7.5亿个恶意网址！

360终端安全管理系统：四大立体引擎协作，再高级的变种也难逃法眼！

360安全云：终端安全专家托管服务，大模型赋能云化专家7*24全天候守护终端安全！

依托超过3000名云化安全专家，提供7×24小时全天候监测、响应和处置服务，每天执行超过560亿+次的云端查杀操作，平均每秒查杀64.8+万次，每日拦截勒索攻击100万+次、挖矿攻击1000万+次、网络电信诈骗6000万+次，为客户终端设备提供有效的安全托管服务，助力客户能够快速发现异常，自动化响应处置。在帮助企业节省人力、资金的前提下，进一步提高安全水平，为银狐病毒防护建立安全屏障。

鉴于近期的银狐木马攻击事件，建议广大政企机构应分别从人员、制度、技术三方面提高警惕：

1.人员角度：重视对财税人员的信息安全培训，加强财税人员的信息安全意识和识别能力；

2.技术层面：通过各类软/硬件防护体系的构建，对财税设备与各类服务器设备、一般办公设备、其他类型重要设备均进行安全隔离和专项防护。最大限度的保障各类设备组群的相对独立性及安全性；

想要了解更多详情

400-0309-360

01

●ISC.AI2024周鸿祎：安全大模型要与安全业务深度融合

02

●360与云南电信战略携手，共铸“两亚信息大通道”安全基石

03

●即买即用，全自动安全运营体检，有360BAS就够了

04

●全面AI化！360入选权威机构“AI+安全”报告最多领域代表厂商