银狐木马：隐蔽威胁与防范攻略

在数字化时代，网络安全威胁无处不在，其中“银狐木马”已成为企事业单位和个人用户面临的一大隐患。

银狐（又名：“游蛇”“谷堕大盗”），是一种专门针对企事业单位管理、财务、销售等从业人员进行攻击的木马病毒。

自2021年起，“银狐”团伙在网络空间中肆意妄为，其所开发的木马病毒不断迭代升级，攻击手段也日趋复杂，给网络安全防护带来了前所未有的挑战。

作为活跃于黑色产业链中的犯罪组织，“银狐”团伙制作的木马病毒不断演变，通过高度一致且先进的技术手段与攻击策略，对企业和个人构成了持续性的威胁。本文旨在深入探讨“银狐”木马的发展历程及其传播途径，并尝试追溯其源头，以期帮助读者更全面地了解此类恶意软件的危害性，从而提高警惕，有效防范可能遭遇的攻击。

一、银狐组织与木马概述

“银狐” 组织是活跃在黑色产业链的犯罪团伙，他们精心打造的 “银狐” 木马病毒，如同隐匿在网络暗处的猎手，专门针对企事业单位的关键岗位人员，如管理层、财务、销售及电商从业者等。这些人员掌握着大量敏感信息，一旦中招，后果不堪设想。

自诞生以来，“银狐” 木马活动愈发频繁，活跃度居高不下。根据火绒官方统计，“银狐”团伙始终保持高度活跃，每月攻击频率呈现增高趋势，受害设备数量以每月数万台计。尤其是在2023年底，其攻击事件显著增长，这一攻击趋势在2024年仍在延续，且其影响范围也在不断扩大。

起初，其主要通过定向钓鱼攻击，精准锁定目标人群，随着影响力的扩大，越来越多的网络犯罪分子开始模仿其手段，导致类似攻击事件在全球范围内呈爆发式增长。

与传统钓鱼木马不同，“银狐” 木马采用了更为隐蔽且复杂的多级白进程劫持技术，大大增加了检测和防范的难度。如今，其威胁范围已从企业机构蔓延至普通网民，几乎无人能置身事外。

二、银狐木马攻击手法剖析

（一）传播途径多样

- 邮件伪装：“银狐” 团伙擅长伪装成合法的发件人，如供应商、合作伙伴或客户等，向目标人群发送含有恶意附件或链接的邮件。这些邮件往往精心设计，主题和内容极具迷惑性，诱导收件人点击。例如，伪装成重要合作文件或紧急业务通知，让收件人在毫无防备的情况下中招。

- 宏代码攻击：若附件是 Office 文件，常常暗藏恶意宏代码。当用户打开文件并启用宏功能时，恶意代码便会悄然执行，在用户电脑中植入木马程序，如同在电脑中埋下一颗定时炸弹。

- 假冒合法应用：犯罪分子创建高仿的应用下载页面，将恶意程序伪装成热门工具、游戏或办公软件，诱使受害者下载。这些假冒应用在外观和名称上与正版极为相似，普通用户很难辨别真伪，一旦下载安装，电脑便会被木马控制。

- 搜索引擎广告投放：通过购买广告位或优化搜索引擎排名，“银狐” 组织让伪造页面出现在搜索结果前列。用户在搜索相关软件或信息时，极易误点击进入钓鱼页面，下载含有木马的程序，从而使电脑沦为 “肉鸡”。

- 群聊传播木马：控制受害者电脑屏幕后，“银狐” 组织将恶意木马文件转发至群聊，诱导群成员点击下载。一旦有人运行木马，更多设备可能被感染。得手后，他们会迅速退出群聊，降低被发现的风险，如同打了就跑的游击战术。

- 冒充上级实施诈骗：犯罪分子控制领导或管理人员的社交账号，单独创建新群，以紧急事务或企业内部需求为由，诱骗财务人员转账或泄露敏感信息。这种结合社会工程学的攻击手法，利用了人们对上级的信任，极具欺骗性，往往会给企业带来巨大的经济损失。

- 网页挂马：水坑攻击，在政企人员频繁访问的网站或论坛中植入恶意代码，受害者一旦访问，浏览器会自动下载并执行木马程序。广告劫持，利用恶意广告注入技术，在正常网页的广告弹窗分发木马。

- 色情信息诱导：诱导下载，利用伪装成色情视频、图片等资源的链接和附件，引诱受害者下载恶意文件。钓鱼网站，搭建钓鱼网站并将其伪装成色情网站，受害者在访问或尝试下载内容时会被植入木马。

- 游戏资源传播：盗版游戏私服，通过私服游戏客户端或外挂工具捆绑木马程序，吸引受害者下载。论坛分享，在游戏论坛或社群中发布伪装成游戏补丁、福利资源的木马程序，诱导受害者下载。

- 常见web Nday漏洞：已知漏洞攻击，利用受害者使用的网站中常见的Nday漏洞（如Struts2、Log4j、WebLogic等）直接植入木马，入侵受害者系统。工具化攻击，借助自动化漏洞扫描工具批量检测受害者系统，并在漏洞存在时植入恶意程序。

- 社交信息：键盘和鼠标劫持，通过木马获取受害者设备的控制权限，利用受害者的社交软件（如微信、企业微信、Telegram）向其联系人群发恶意链接或文件，达到木马传播的目的。信任链攻击，伪装为受害者本人发送的消息，增强恶意链接的可信度，从而扩散木马传播。

- 供应链：软件更新劫持，通过入侵第三方软件库，篡改其中的更新包或安装包，将木马伪装为合法软件的部分功能，借助供应链传播至受害者系统。外包或合作渠道渗透，利用受感染的外包服务商或合作伙伴的程序或系统，以共享文件或系统集成为媒介传播木马。

（二）权限获取与维持

- 利用行为管理软件：像 IP-Guard 等企业内部管理工具，原本用于记录电脑日常操作，却被 “银狐” 组织恶意利用。他们通过获取用户电脑权限，借助这类软件记录用户的浏览网站、社交通信消息、文件外发、电子邮件等操作，实现对用户的全方位监控，进一步扩大攻击范围。通过对近期发现的“银狐”木马进行分析，得知其主要采用Win0s作为后门模块，以实现对用户电脑活动的监控。通过网上泄露的源代码可以看到，这类后门已具备键盘记录、查看屏幕（高速屏幕、娱乐屏幕、后台屏幕）、摄像头查看、文件管理、语音监听、远程终端执行、系统管理、驱动插件、注册表管理、压力测试等功能。

IP-Guard等行为管理软件本身是用于企业内部管理的工具，具备记录电脑日常操作的功能。而“银狐”组织利用这类软件，能够获取用户电脑的更多权限，从而记录用户电脑的日常操作，包括浏览网站、社交通信消息记录、文件外发跟踪、电子邮件劫持、智能截图、文件操作、打印机日志、剪贴板记录、屏幕录像等。因此，一旦“银狐”组织成功取得用户电脑的控制权，便会通过类似软件对木马进行更深层次的传播。

- 白加黑技术与进程注入：“银狐” 木马持续优化恶意代码加载器，大量运用内存加载 PE、白加黑技术以及多样化的进程注入手段。其中，白加黑技术尤为突出，通过劫持白名单软件，将自身伪装成可信程序，成功规避杀毒软件的监控和检测。同时，利用多种系统特性进行提权操作，绕过进程链检测机制，并借助 BYOVD 技术在驱动层与安全软件对抗，确保攻击者能够长期稳定地控制目标系统，持续窃取信息。

更多方式请参考火绒安全发布的《聚焦银狐丨探究病毒肆虐传播背后隐藏的迭代玄机》https://www.toutiao.com/article/7460098478392214027/?upstream_biz=doubao&source=m_redirect&wid=1754157843648

三、银狐木马迭代

“银狐”木马的执行流程可分为以下三个阶段：

- 单文件加载器：释放白加黑文件

- 白加黑实现权限维持

- 执行后门模块

而木马在各个阶段的攻击手法，也随着时间的推移在不断演变。其中，加载器的种类日趋多样，从最初的.exe文件发展到如今的.chm、.bat、.vbs、.msi等格式。同时，在编程语言的运用上也越发多元，涵盖了C、C++、C#、Go等多种语言。这一演变使得“银狐”木马能够更加灵活地突破安全防御，增加了防范和检测的难度。

如今，其后门模块历经演变，也从原始Gh0st、大灰狼演变为DcRat、Win0s，甚至开始利用国内正规行为管理软件。

第一阶段：Gh0st

Gh0st阶段的木马通常采用套MFC壳的方式，将恶意代码塞入MFC程序初始化对话框之后。当程序执行到恶意代码所在位置时，会通过简单的异或解密恶意代码，之后直接加载执行恶意代码。在此阶段，木马的后门主要是基于 Gh0st 内核改版的灰鸽子、大灰狼远控等远控工具。

Gh0st 加载流程

Gh0st 服务端

大灰狼服务端

第二阶段：DcRat

DcRat 是一种使用 C# 语言编写的后门远控工具。其背后的所依托的木马技术也随着 C# 语言的发展不断演变。C# 语言与 .NET Framework 和 Windows 系统深度集成，凭借其丰富的标准库和第三方库，能够更加便捷高效的实现木马功能。随着 .NET Core 的出现，C# 程序的运行平台从 Windows 扩展到了 Linux 和 macOS，大幅提升了其跨平台的适用性。这种演变不仅拓宽了木马的传播范围，还增强了它的灵活性与隐蔽性，为安全防护带来了新的挑战。

DcRat加载器

DcRat服务端

第三阶段：Win0s

自“银狐”木马采用 Win0s 作为后门模块以来，其权限维持技术在不断升级，与安全软件的对抗也进入了白热化阶段。“银狐”通过持续优化恶意代码加载器，结合内存加载 PE、白加黑技术以及多样化的进程注入手段，不断突破安全防线。其中，“银狐”对白加黑技术的利用尤为突出，它通过劫持白名单软件，将自身伪装为可信程序，从而规避杀软的监控和检测。此外，“银狐”还会通过多种系统特性进行提权操作，成功绕过进程链检测机制，并利用BYOVD技术在驱动层展开对抗，由此确保攻击者可以长期保持对目标系统的控制，以实现攻击行为的持续隐蔽与高效执行。

以下是银狐目前使用的技术手法：

1.RPC （Remote Procedure Call）远程调用

RPC （Remote Procedure Call）远程调用是一种进程间通信（IPC）协议。该技术能够隐藏网络通信的复杂性，使计算机程序像调用本地程序一样，对远程系统（通常是另一台计算机）上的程序或服务进行调用。RPC 远程调利用 ALPC 进行底层消息传递，能够通过 svchost.exe 启动进程，而借助 RPC 远程调用能够实现进程链的加白。

- RPC 创建system权限进程

- RPC创建计划任务

2.COM（组件对象模型）

COM（组件对象模型）是一种具有平台无关性，且遵循面向对象原则的分布式系统。它定义了一套标准的通信机制，允许处于不同应用程序或不同系统中的软件组件进行互操作。

- 计划任务

- 提权

- 创建快捷方式

- 设置防火墙

- 回调执行恶意代码

- 越权复制文件

3.注入

注入技术是一种通过操作系统提供的进程内存和线程控制API，将自定义代码或动态链接库（DLL）插入到目标进程的地址空间，以实现功能扩展或执行特定任务的技术。

- APC注入

- CreateRemoteThread & NtCreateThreadEx 注入

- ResumeThread 注入

4.DDR（Dead Drop Resolvers）

DDR（Dead Drop Resolvers）是一种攻击者使用合法域名网站来承载命令和控制服务器（C2）信息的技术。攻击者通常会利用该技术来绕过安全软件的流量检测。

- 远程载荷云对象存储COS

- 云笔记

5.BYOVD（Bring Your Own Vulnerable Driver）

BYOVD（Bring Your Own Vulnerable Driver）技术是指将存在漏洞的合法驱动程序投递至目标系统，凭借合法驱动程序的签名绕过DSE（强制驱动签名）的限制，并通过该驱动实现摘除内核的回调以及Rootkit的部署。

第四阶段：行为管理与监控软件的利用

1.IP-Guard

IP-Guard是某厂商开发的行为监控管理软件，具有实时监控与记录、远程控制、文件管理等功能，能够对用户终端的操作行为进行实时监控、审计以及管理，广泛应用于企业内部的安全管理。

通过溯源分析，“银狐”木马正在利用 IP-Guard 实现对受控主机进一步的权限维持。IP-Guard 生成的客户端通常带有数字签名，能被大部分杀毒软件默认信任，这为银狐的隐匿提供了更好的伪装。目前，火绒安全团队已联合 IP-Guard 官方展开针对性的打击行动，能够精准识别与查杀被滥用的 IP-Guard 版本，有效遏制银狐木马的传播和非法行为。

IP-Guard 服务端：

2.Ping32

Ping32 是国内厂商开发的行为管理与监控软件，与IP-Guard类似，它通过多种功能模块记录、分析和控制终端用户的行为，提供IT管理支持。

随着安全厂商将 IP-Guard 滥用版本拉入黑名单并加强查杀力度，“银狐”木马正在调整策略，将权限维持工具更换为 Ping32 ，以进一步增强其隐匿性与对抗能力。木马的活动主要涉及财务、赌博、诈骗等相关领域的控制。

Ping32 服务端：

四、溯源分析

1.HFS

Rejetto HFS（HTTP File Server） 是一款免费的 Windows 上基于 HTTP 协议的轻量级文件服务器软件，以简单易用、高度自定义的特性而受到欢迎，常用于快速文件共享和小型文件服务器的搭建。

通过对银狐木马的分析发现，其擅于使用Rejetto HFS作为恶意文件服务器，以下为发现的银狐木马文件服务器：

- http://69.165.***.***:8888/ 文件服务器

- http://202.58.***.***:8821/ 文件服务器

通过文件上传时间可以看到，目前该木马仍处于活跃传播状态。由于 HFS 存在 RCE远程执行漏洞，我们可以通过此漏洞对银狐主机进行反制，开展进一步的溯源。

漏洞利用：

2.搜索引擎

恶意攻击者会将钓鱼网页进行合法备案，将其伪装成正规网站。因为合法备案增加了网站的可信度，所以用户很容易对恶意网站产生信任。同时，攻击者能够利用搜索引擎的推广机制，通过为恶意网页支付推广费用来提高其曝光率和排名，从而诱骗用户点击钓鱼网页，下载并运行病毒样本。

以下为目前银狐正在利用的钓鱼网站相关信息：

对上述网站进行分析发现，银狐组织通过购买竞价排名，利用搜索引擎的推广机制，将自身伪装成向日葵、鲁大师、好压、钉钉等常用软件进行钓鱼传播。

搜索引擎广告推广

通过对上述域名的溯源分析发现，大部分域名的Whois指向了1410*****@qq.com邮箱，通过对邮箱中的QQ进行溯源分析发现其所指向的公司为“陕西齐兆华飞网络科技有限公司”。

信息溯源：

域名指向公司的工商信息：

五、样本分析

下面针对火绒终端威胁情报系统最新捕获的银狐样本进行分析：

该样本是一个恶意的 .exe 可执行程序，其背后隐藏着一个 Win0s 后门病毒。

初始样本将恶意代码写入本地系统，并通过多次进程注入来执行恶意代码和加载后门模块，从而在后台持续监控用户电脑活动。整个过程中能够在用户毫无察觉的情况下获取敏感信息并执行恶意操作。

该样本的加载流程图如下：

首先，对初始样本进行分析发现，样本通过检测常用软件的方式来检测虚拟机与沙箱，例如利用注册表以及桌面快捷方式进行检测。

随后，将恶意代码写入本地，再将其重新读取至内存并执行。

注：病毒作者以huorong字段作为文件名，以此迷惑用户。

接着，样本通过APC & NtTestAlert的方式执行恶意代码。

解密出的恶意代码是一份用于内存加载DLL的shellcode，其通过拉伸区段、修复IAT、重定位表的方式加载DLL 。

dump出内存中的 DLL 进行静态分析。在DLLmain中，样本首先会判断系统版本号是否大于Win10：

1.若为Win10、Win11系统：

- 进程名称检测：检测程序名称是否包含执行数字。注入：采用线程池注入的方法，将恶意代码注入到explorer.exe 中。

2.若为Win10以下系统：采用创建线程的方法执行恶意代码

当系统版本大于等于win10时，样本首先会检测程序名称是否包含指定数字，若匹配到就继续执行，否则退出程序。

检测完成后，将恶意代码以及后门网址写入注册表\HKEY_CURRENT_USER\Console，并释放到本地文件C:\Users\Public\Downloads\bb.jpg 中。

之后，采用池注入的方法注入一份新的shellcode，以此加载释放到本地bb.jpg或者注册表中的恶意代码：

样本会先获取explorer.exe的句柄，之后再利用线程池注入的方法，将恶意代码注入到explorer.exe进程当中。

新的shellcode同样采用内存加载DLL的方式来加载DLLmain函数。从内存中将其dump出来进行分析：

成功读取恶意代码后，通过挂起进程的方式，利用ResumeThread函数实现将恶意代码注入到新的进程C:\\Windows\\explorer.exe 中。

注入到C:\\Windows\\explorer.exe进程中的shellcode，会通过网络下载后门模块的方式，利用异或解密其中内容，得到一份用于内存加载DLL的后门DLL。

将下载到的后门模块进行dump分析，发现该模块是一个完整的后门模块DLL。

通过对shellcode的分析发现，内存加载DLL之后会执行导出函数load。

进一步分析发现，该shellcode为Win0s的上线模块.dll。

分析发现，该样本的后门模块与2024年8月份火绒安全发布的“李鬼软件暗设后门，对抗杀软侵蚀系统”文章中的后门模块类型相同，同属于Win0s后门，具体细节可查看往期分析报告。

经过对比发现，在该样本的后门功能中，原本的线程监控键盘功能已被魔改为对带有银行、微信标题的窗口进行自动截图并将截图保存至C:\\ProgramData\\baiduScreenShot路径下。

六、查杀与应急方法

（一）查杀方法

- 专业安全软件查杀：安装知名的杀毒软件和终端安全管理系统，如 360 终端安全管理系统、深信服 aES 等，并及时更新病毒库规则。这些安全软件具备强大的病毒检测和查杀能力，能够识别并清除 “银狐” 木马及其变种。例如，360 终端安全管理系统通过云查杀引擎、鲲鹏引擎、QVM 人工智能引擎、QEX 脚本检测引擎构建的多维智能检测体系，可有效查杀各类恶意软件，包括 “银狐” 木马。

- 云沙箱鉴定：对于可疑文件，可上传至云沙箱进行二次鉴定。云沙箱能够模拟文件运行环境，观察其行为，判断是否为恶意程序。如深信服的云沙箱可联动云端能力，对样本文件进行动态分析，多维度完成样本鉴定，让免杀样本无所遁形。

- 内存检测：由于 “银狐” 木马常采用内存驻留技术，一些安全软件具备内存检测功能，能够精准检测内存中驻留的后门，并清除相关的进程、线程、启动项以及文件等。例如，深信服 aES 的内存检测技术可针对各类远控木马特性，有效清除内存中的 “银狐” 木马。

（二）应急措施

- 隔离感染设备：一旦发现电脑可能感染 “银狐” 木马，应立即断开网络连接，防止木马进一步传播扩散，并感染其他设备。可将电脑从网络中移除，或关闭网络适配器。

- 备份重要数据：在确保数据未被木马加密或破坏的情况下，尽快对重要数据进行备份。可使用外部存储设备，如移动硬盘等，将数据复制出来。但要注意，在备份前需对外部存储设备进行杀毒，以免交叉感染。

- 系统重装或还原：对于感染严重的电脑，在备份数据后，可考虑重新安装操作系统或进行系统还原。重装系统可彻底清除电脑中的恶意程序，但要注意安装过程中选择正规的操作系统安装源，避免再次感染。系统还原则可将系统恢复到之前的正常状态，但前提是之前开启了系统还原功能且还原点未被木马破坏。

- 账号安全处理：如果发现社交账号被盗用，应立即向亲友和单位同事告知情况，防止犯罪分子利用账号进行诈骗活动。同时，通过安全的设备和网络环境修改登录密码，并对常用的计算机和移动通信设备进行全面杀毒和安全检查。若账号反复被盗，在备份重要数据后，可考虑重新安装操作系统和安全软件，并更新到最新版本，以确保账号安全。

- 安全加固与监测：在恢复系统正常运行后，要对电脑进行安全加固。更新操作系统和所有软件的补丁，关闭不必要的端口和服务，加强用户权限管理等。同时，持续监测电脑运行状态，通过安全软件的实时监控功能，及时发现并处理可能出现的异常情况。对于企业用户，还应加强网络安全管理，定期进行安全评估和风险排查，提高整体网络安全防护水平。

（三）应急工具分享