近期，360安全大模型监测到大量用户正遭遇银狐木马发起的网络攻击，其中企事业单位管理人员、财务人员、销售人员及电商卖家更是重点关照“对象”。

自2023年初以来，银狐木马持续猖獗，广泛在金融、教育、电商等多个行业留下罪证，一旦得手，银狐就能操控木马监控受害者日常操作，并窃取企业财务、管理等机密信息，造成政企机构的重大损失。

百变“毒王”猖獗作恶

传播手段千变万化

银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播。它通常利用具有诱导性的文件名，如“成绩单”、“转账通知单”等，在QQ、微信等即时通信软件发送钓鱼文件或网站链接，诱导受害者点击。

此外，其还擅长使用白利用、内存loader等技术手段，实现多阶段投递，并使用云笔记存储payload数据，这导致了其能够迅速传播和潜伏在系统中，具备高度隐蔽性和复杂的功能。为能够高效传播扩散，银狐木马的伎俩千变万化，以下为几大典型的投毒场景：

巧借搜索引擎SEO诱骗

借用搜索引擎SEO推广是银狐木马的惯用伎俩之一，其将流量吸引至自行构建的虚假站点，再通过虚假站点的误导性内容进行钓鱼传播。

一旦有用户陷入误导，便会跟随虚假指引下载木马安装包，主动安装木马。这类投放方式面向的是普通大众，而虚假站点通常也是直接仿冒各类知名大站，普通用户往往难辨真伪。

某搜索引擎中搜索到的虚假钓鱼站点

虚假钓鱼站点页面

仿冒工具软件投毒

银狐木马通常也会仿冒为Telegram、v2ray、XShell、MobaXterm等各类热门的工具软件，一旦点击下载通常会指引至钓鱼站点，或是给钓鱼站点引流的帖子、教程等，里面会掺杂多个木马家族。此类传播方式主要面向的是IT管理人员、外贸从业人员或涉及灰黑产的人士等，一般隐秘程度较高。

伪装为SecureCRT的银狐木马下载页面

钓鱼页面定向投放

在钓鱼页面传播，攻击者则更倾向于针对企业职员进行定向投递。税务稽查类钓鱼页面通常是此类钓鱼攻击实施中的核心一环。攻击者一般通过聊天软件、邮件、短信等方式发送欺诈链接给用户，诱骗用户打开，进而下载木马。

带有木马安装包的钓鱼页面

网盘/OSS挂载木马包

很多银狐木马在对抗过程中改用了网盘或云服务商提供的Object Storage Service (OSS)来挂载木马。这样也让防护人员很难根据站点IP或域名进行封禁或者溯源，而在木马下载链条中，只能对单个下载页面进行相对精准的定位和封禁。

360拦截挂载于网盘中的恶意木马包

微信传播

微信作为目前国内最主流的通讯方式也必然成为了攻击者实施其钓鱼攻击而必然选择的传播渠道，而根据账号类型通常又会分为两类传播方式：一类是仿冒其他人微信号，加群或者加个人发起钓鱼攻击。另一类则是利用已经中招电脑上登录着的微信，控制其账号向好友和群内发起钓鱼攻击。

花式招数对抗安全软件

机关算尽只为长期驻留

在完成钓鱼传播后，木马还要对抗安全软件，实现长期驻留控制用户电脑。主要对抗方式有：

利用RPC管道远程创建计划任务与服务

服务和计划任务是木马攻击中非常常见的驻留手段，银狐木马通过构造RPC数据包和构造RpcStringBindingComposeW函数调用两种方法，针对传统RPC管道方式创建计划任务进行了改进，有效规避了常规杀毒软件、EDR产品的监测。

SecLogon伪造父进程

利用SecLogon滥用方法，银狐木马可以实现伪造父进程，构造一个错误的进程链，迷惑安全软件，从而绕过安全软件的拦截。

发送消息尝试结束安全软件

银狐木马在进入机器后，可能也会遍历窗口，查找安全软件，并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。

模拟点击安全软件拦截弹窗

银狐木马在运行生命周期中会创建一个辅助线程，用于循环查找安全软件的拦截弹窗。一旦出现安全软件拦截弹窗，便模拟用户操作来点击“允许”按钮，从而规避拦截。

PoolParty注入技术

银狐木马也会利用PoolParty注入技术代替常规的代码注入方法，将代码注入到系统进程中执行，规避安全软件拦截。

此外，木马还会利用一些安全软件、系统维护工具的驱动，以及软件兼容性策略等来逃避安全软件的查杀拦截，欺骗手段让人防不胜防。

躲避杀毒软件扫描查杀

想法设法延长存活时间

对于一般病毒木马来说，用户即便中招，也可以通过杀毒清理或杀毒软件的主动扫描、推送扫描机制，将其快速灭活，所以在完成防御对抗后，木马还要想方设法的延长其存活时间。

常见的木马驻留方式，主要是Run自启动项、服务项目、计划任务等。这些方式银狐木马中也都有体现，但银狐木马对其进行了一些“创新”。

利用系统程序，

加参数脚本实现启动。

利用系统中程序实现特定功能，这在木马攻击中非常普遍，银狐木马会选择一些较少被使用到的程序实现该方法。比如，木马连环利用FTP静默执行特定脚本的方式，就可以实现在没有常规木马文件落地的情况下实现驻留。

利用企业管控软件、

安全软件实现长期驻留

企业管理管控软件属于正规软件，一般不会被安全软件检出和清理。同时这类软件本身具有防卸载、防关闭的能力。银狐木马驻留后不久，就会迅速向用户电脑安装这类软件，实现长期控制。

目前，银狐类木马主要还是集中于“信息窃取”，利用其掌控的电脑，收集用户的个人信息以及企业信息，伺机发起诈骗。因此，银狐木马特别偏爱企业职工——尤其是企业财务人员。

其窃取的主要信息包括：微信密钥与聊天记录、企业财税文件、企业工资单等企业财务相关内容。另外木马还会实时检测用户对电脑的操作过程，掌握用户的身份与操作习惯等。

除了用于诈骗外，窃取虚拟货币，以及利用被控制的“肉鸡”实施挖矿，进行DDoS攻击也在部分银狐木马的“菜单”中。

构建数字安全防御体系

360全面抵御银狐威胁

基于多年攻防实战经验和能力，360推出基于安全大模型赋能的银狐病毒防护实战化解决方案，将云化数据、探针、专家、平台和大模型能力开放给广大客户，构建了有效预警、全面防护、持续监测、智能处置的数字安全能力体系，实现了对入侵病毒的安全检测、安全分析、安全响应处置效率飙升，人效提升可达50%以上，安全运营各项指标效率提高100%以上。

这套方案主要是由360企业安全浏览器、360终端安全管理系统、360安全云组成：

360企业安全浏览器：基于180亿+恶意网址数据库，每日拦截超过7.5亿个恶意网址！

360企业安全浏览器基于安全大模型的深度赋能，可实时通过云端不断更新的恶意网站数据库中查询，自动化判定登录网站是否为钓鱼网站、黑网址等威胁站点，对于银狐等持续变种性木马，及时警告用户访问的目标网站可能存在威胁，避免钓鱼、诈骗、财产损失等安全风险。

360终端安全管理系统：四大立体引擎协作，再高级的变种也难逃法眼！

360终端安全管理系统，针对银狐木马等提供先进的防病毒功能，通过云查杀引擎、鲲鹏引擎、QVM人工智能引擎、QEX脚本检测引擎构建的多维智能检测体系，并配合主动防御，支持对蠕虫病毒、恶意软件、APT、广告软件、勒索软件、引导区病毒的检测查杀。

四大引擎实现后端病毒特征自动分析提取、抽取出病毒与恶意代码共性特征，建立恶意代码不同族系模型，同时，可将变种繁多的宏病毒置入模拟器执行，通过既定输出参数精确判断宏病毒后执行精确查杀。

360安全云：终端安全专家托管服务，大模型赋能云化专家7*24全天候守护终端安全！

依托超过3000名云化安全专家，提供7×24小时全天候监测、响应和处置服务，每天执行超过560亿+次的云端查杀操作，平均每秒查杀64.8+万次，每日拦截勒索攻击100万+次、挖矿攻击1000万+次、网络电信诈骗6000万+次，为客户终端设备提供有效的安全托管服务，助力客户能够快速发现异常，自动化响应处置。在帮助企业节省人力、资金的前提下，进一步提高安全水平，为银狐病毒防护建立安全屏障。

鉴于近期的银狐木马攻击事件，建议广大政企机构应分别从人员、制度、技术三方面提高警惕：

1.人员角度：重视对财税人员的信息安全培训，加强财税人员的信息安全意识和识别能力；

2.技术层面：通过各类软/硬件防护体系的构建，对财税设备与各类服务器设备、一般办公设备、其他类型重要设备均进行安全隔离和专项防护。最大限度的保障各类设备组群的相对独立性及安全性；

3.制度层面：完善财税等重要岗位的责任制度，将信息安全的相关能力和事故影响纳入到考核指标及问责体系当中。