假安全，真木馬！銀狐以查殺工具之名發起釣魚攻擊

2025-06-25 11:30:35
我要分享


微信掃碼分享

銀狐木馬概述

近一年來，銀狐木馬傳播勢頭居高不下，傳播手段也是花樣百出，儼然已經成為近期國內最為活躍的木馬團伙之一。進入6月以來，其傳播態勢進一步抬頭。360安全大腦在其傳播高峰期的數據顯示，曾出現過日均攔截近10萬次木馬傳播的記錄，并曾單日處理銀狐近200種各類免殺變種的情況。同時，其用于傳播的釣魚攻擊手段也在不斷更新，近期更是出現以“防范銀狐木馬”“公職人員違規亂吃喝處罰名單自查”為文件名的釣魚攻擊，堪稱“反向操作”大師，令人防不勝防。

當前版本銀狐木馬的一般攻擊流程示意圖如下：

圖1. 當前版本銀狐木馬典型攻擊流程示意圖?

360快速阻斷木馬傳播

面對快速傳播而又更新頻繁的木馬，360安全大腦利用云安全立體防護體系，進行了多維度多技術手段的有效阻擊。

銀狐木馬傳播所遇到的第一道防線便是360下載安全防護。360下載安全支持釘釘、微信、QQ等各類銀狐木馬傳播中利用的通訊軟件，實現對處于傳播初期階段的木馬第一時間進行自動查殺。

圖2. 360攔截銀狐木馬下載?

面對360的防御，攻擊者也在攻擊手段上使出了渾身解數。我們總結了銀狐木馬團伙最近使用到的攻擊手段，主要有如下幾類：

l多文件攻擊
攻擊者在發送的木馬壓縮包中摻入大量正常、無關文件，試圖以此來擾亂安全軟件的視線。安全軟件在對壓縮包進行檢查時，需要解壓其中的文件才能進行有效掃描。而攻擊者用這種方式試圖來增加安全軟件的解壓分析失敗率。

l大文件攻擊
這是一類歷史比較久遠的攻擊方式。攻擊者用此類方式，阻止安全軟件對樣本的采樣收集，試圖延長自身的生存周期。

l加密壓縮包攻擊
攻擊者還可能使用帶密碼的壓縮包來傳遞木馬。如果用戶未能向安全軟件提供解壓密碼，則會直接影響安全軟件的安全分析能力。

l“配置型白利用”攻擊
某些正常軟件的行為可由其配置文件在一定范圍內進行更改和指定。攻擊者利用這類文件發起攻擊時，安全軟件如果僅檢查可執行文件的安全性，可能無法有效識別存在于配置文件中的潛在風險。

面對以上種種攻擊形式，我們依托大模型輔助的智能分析系統，將安全專家的分析經驗匯集于模型之中，快速從各類掃描數據中找出符合以上攻擊特性的樣本，對其實施自動阻斷攔截。此外，還會對無法識別的可疑文件進行標記，并監控其后續行為。

對于傳輸過程中的漏網之魚，360主動防御系統會對用戶電腦提供強力保護。近期，銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點擊、WFP斷網、安全軟件驅動利用、Windows?Defender策略濫用等。360主動防御在對抗中不斷成長，對這些攻擊均能進行有效防御，并對發現的漏網之魚進行清剿。

圖3. 360攔截銀狐木馬釋放惡意驅動

360智能查殺能力

僅僅能防御病毒還不夠，360還要對已經中招的設備進行查殺清理。

我們在2023年就推出了遠控·勒索急救模式。對于已經中招的設備，360可以一鍵阻斷攻擊者對電腦的控制，為后續木馬的清理提供寶貴的時間。

圖4. 360遠控·勒索急救模式

對頑固木馬的清理，360支持對各類驅動級木馬的清理、對被篡改的系統配置進行修復。依托這些能力，我們能夠徹底清除銀狐木馬對系統的破壞。同時，我們還支持了對被銀狐木馬利用的IPGuard、安在管理軟件、陽途管理軟件等軟件的智能卸載。目前，我們可以自信地說，360是國內清理能力最為全面的安全軟件。

樣本分析

當前，銀狐木馬實際上是一大類釣魚遠控木馬的總稱。而目前流行的銀狐木馬旗下，包含有多個不同制作團隊和傳播團伙開發的多款木馬。對木馬進行溯源可以發現，其參與成員多數位于東南亞地區，此外也有部分國內灰黑產成員參與。他們利用Telegram網絡組織進行聯系，不同團伙間有較為顯著的技術差異，但同時也保持著較為頻繁的技術交流。