假安全，真木马！银狐以查杀工具之名发起钓鱼攻击

2025-06-25 11:30:35
我要分享


微信扫码分享

银狐木马概述

近一年来，银狐木马传播势头居高不下，传播手段也是花样百出，俨然已经成为近期国内最为活跃的木马团伙之一。进入6月以来，其传播态势进一步抬头。360安全大脑在其传播高峰期的数据显示，曾出现过日均拦截近10万次木马传播的记录，并曾单日处理银狐近200种各类免杀变种的情况。同时，其用于传播的钓鱼攻击手段也在不断更新，近期更是出现以“防范银狐木马”“公职人员违规乱吃喝处罚名单自查”为文件名的钓鱼攻击，堪称“反向操作”大师，令人防不胜防。

当前版本银狐木马的一般攻击流程示意图如下：

图1. 当前版本银狐木马典型攻击流程示意图

360快速阻断木马传播

面对快速传播而又更新频繁的木马，360安全大脑利用云安全立体防护体系，进行了多维度多技术手段的有效阻击。

银狐木马传播所遇到的第一道防线便是360下载安全防护。360下载安全支持钉钉、微信、QQ等各类银狐木马传播中利用的通讯软件，实现对处于传播初期阶段的木马第一时间进行自动查杀。

图2. 360拦截银狐木马下载

面对360的防御，攻击者也在攻击手段上使出了浑身解数。我们总结了银狐木马团伙最近使用到的攻击手段，主要有如下几类：

l多文件攻击
攻击者在发送的木马压缩包中掺入大量正常、无关文件，试图以此来扰乱安全软件的视线。安全软件在对压缩包进行检查时，需要解压其中的文件才能进行有效扫描。而攻击者用这种方式试图来增加安全软件的解压分析失败率。

l大文件攻击
这是一类历史比较久远的攻击方式。攻击者用此类方式，阻止安全软件对样本的采样收集，试图延长自身的生存周期。

l加密压缩包攻击
攻击者还可能使用带密码的压缩包来传递木马。如果用户未能向安全软件提供解压密码，则会直接影响安全软件的安全分析能力。

l“配置型白利用”攻击
某些正常软件的行为可由其配置文件在一定范围内进行更改和指定。攻击者利用这类文件发起攻击时，安全软件如果仅检查可执行文件的安全性，可能无法有效识别存在于配置文件中的潜在风险。

面对以上种种攻击形式，我们依托大模型辅助的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，对其实施自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并监控其后续行为。

对于传输过程中的漏网之鱼，360主动防御系统会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等。360主动防御在对抗中不断成长，对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。

图3. 360拦截银狐木马释放恶意驱动

360智能查杀能力

仅仅能防御病毒还不够，360还要对已经中招的设备进行查杀清理。

我们在2023年就推出了远控·勒索急救模式。对于已经中招的设备，360可以一键阻断攻击者对电脑的控制，为后续木马的清理提供宝贵的时间。

图4. 360远控·勒索急救模式

对顽固木马的清理，360支持对各类驱动级木马的清理、对被篡改的系统配置进行修复。依托这些能力，我们能够彻底清除银狐木马对系统的破坏。同时，我们还支持了对被银狐木马利用的IPGuard、安在管理软件、阳途管理软件等软件的智能卸载。目前，我们可以自信地说，360是国内清理能力最为全面的安全软件。

样本分析

当前，银狐木马实际上是一大类钓鱼远控木马的总称。而目前流行的银狐木马旗下，包含有多个不同制作团队和传播团伙开发的多款木马。对木马进行溯源可以发现，其参与成员多数位于东南亚地区，此外也有部分国内灰黑产成员参与。他们利用Telegram网络组织进行联系，不同团伙间有较为显著的技术差异，但同时也保持着较为频繁的技术交流。