辰东全部小说,完美世界有声小说

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心 | 聚焦銀狐丨探究病毒肆虐傳播背后隱藏的迭代玄機

隨著數(shù)字化進程的加速，網(wǎng)絡(luò)已經(jīng)深度融入社會各層面，在極大地促進了信息交流與經(jīng)濟發(fā)展的同時，也滋生了大量網(wǎng)絡(luò)犯罪活動，為網(wǎng)絡(luò)安全領(lǐng)域帶來了嚴峻挑戰(zhàn)。自2021年起，“銀狐”團伙在網(wǎng)絡(luò)世界中悄然崛起。作為活躍在黑色產(chǎn)業(yè)鏈中的犯罪團伙，其制作的“銀狐”木馬病毒不斷演變升級，憑借高度一致的技術(shù)手段與攻擊策略，對企業(yè)和個人造成持續(xù)性威脅。本文將梳理“銀狐”木馬的迭代過程和傳播方式，并進行溯源分析，期望大家能夠深入了解此類病毒，提高警惕，防止遭受攻擊。

銀狐團伙的黑色產(chǎn)業(yè)鏈廣泛滲透至金融、詐騙、政府機構(gòu)及多個行業(yè)領(lǐng)域。從2021年直至2024年12月，“銀狐”木馬活動顯著增多，且始終保持相當(dāng)高的活躍度。起初，“銀狐”組織將目標鎖定在企業(yè)與機構(gòu)中的關(guān)鍵崗位人員，如管理層、財務(wù)部門、銷售團隊以及電子商務(wù)從業(yè)者，通過定向釣魚攻擊獲取敏感信息。隨著時間的推移，銀狐病毒高效的攻擊模式與成功的示范效應(yīng)逐漸引起其他網(wǎng)絡(luò)犯罪分子的關(guān)注，他們開始模仿其攻擊手段并進行傳播，導(dǎo)致全球范圍內(nèi)類似攻擊事件頻發(fā)。不同于傳統(tǒng)釣魚木馬攻擊，“銀狐”木馬采用更為隱蔽的多級白進程劫持技術(shù)進行搭載。如今，不僅企業(yè)和機構(gòu)深受其害，普通網(wǎng)民也面臨著日益嚴峻的安全威脅。

火絨終端威脅情報系統(tǒng)的監(jiān)測數(shù)據(jù)顯示，“銀狐”團伙在過去一年多，始終保持高度活躍，每月攻擊頻率呈現(xiàn)增高趨勢，受害設(shè)備數(shù)量以每月數(shù)萬臺計。尤其是在2023年底，其攻擊事件顯著增長，這一攻擊趨勢在2024年仍在延續(xù)，且其影響范圍也在不斷擴大。

銀狐事件曲線

通過對近期發(fā)現(xiàn)的“銀狐”木馬進行分析，得知其主要采用Win0s作為后門模塊，以實現(xiàn)對用戶電腦活動的監(jiān)控。通過網(wǎng)上泄露的源代碼可以看到，這類后門已具備鍵盤記錄、查看屏幕（高速屏幕、娛樂屏幕、后臺屏幕）、攝像頭查看、文件管理、語音監(jiān)聽、遠程終端執(zhí)行、系統(tǒng)管理、驅(qū)動插件、注冊表管理、壓力測試等功能。

源代碼對比圖

Win0s 功能圖

IP-Guard等行為管理軟件本身是用于企業(yè)內(nèi)部管理的工具，具備記錄電腦日常操作的功能。而“銀狐”組織利用這類軟件，能夠獲取用戶電腦的更多權(quán)限，從而記錄用戶電腦的日常操作，包括瀏覽網(wǎng)站、社交通信消息記錄、文件外發(fā)跟蹤、電子郵件劫持、智能截圖、文件操作、打印機日志、剪貼板記錄、屏幕錄像等。因此，一旦“銀狐”組織成功取得用戶電腦的控制權(quán)，便會通過類似軟件對木馬進行更深層次的傳播。

“銀狐”團伙通過控制受害者的電腦屏幕，在社交平臺（如微信、釘釘、企業(yè)微信）上實施一系列精心設(shè)計的操作，包括：

群聊傳播木馬：控制電腦屏幕將惡意木馬文件轉(zhuǎn)發(fā)至群聊，誘導(dǎo)群成員點擊下載。一旦木馬被運行，更多設(shè)備可能被感染，之后，迅速退出群聊以降低被發(fā)現(xiàn)的風(fēng)險。
冒充上級實施詐騙：控制領(lǐng)導(dǎo)社交賬號或管理人員，單獨創(chuàng)建新群，假借緊急事務(wù)或企業(yè)內(nèi)部需求，誘騙財務(wù)人員轉(zhuǎn)賬或泄露敏感信息。

這種手法結(jié)合了高度針對性的社會工程學(xué)攻擊，不僅能實現(xiàn)惡意木馬的快速傳播，還會導(dǎo)致受害者損失慘重。本文后續(xù)將會針對此類木馬進行詳細分析。

IP-Guard 群聊傳播

群聊二次傳播

控制社交平臺詐騙

Ping32 功能圖

一

木馬傳播方式

“銀狐”木馬在傳播過程中展現(xiàn)出高度的社工性和靈活性，以下是其主要傳播途徑：

1.定向政企財務(wù)釣魚郵件

郵件偽裝：通過偽裝成看似合法的發(fā)件人身份（如供應(yīng)商、合作伙伴或客戶）發(fā)送含有惡意附件或鏈接的郵件。這些附件通常以PDF、Word、Excel等常見文檔格式出現(xiàn)，并會利用社會工程手段誘使受害者將其打開。
宏代碼攻擊：如果附件是Office文件，則常常嵌入有惡意宏代碼。一旦啟用宏功能，這些惡意腳本就會被執(zhí)行，進而下載和安裝木馬程序。

釣魚郵件

2.偽造應(yīng)用下載網(wǎng)頁并推廣

假冒合法應(yīng)用：創(chuàng)建高仿的應(yīng)用下載頁面，偽裝為熱門工具、游戲或辦公軟件，誘騙受害者下載含有木馬的應(yīng)用程序。
搜索引擎廣告投放：通過購買廣告位或優(yōu)化搜索引擎排名，使偽造頁面出現(xiàn)在搜索結(jié)果前列，從而提高受害者下載惡意程序的概率。

釣魚網(wǎng)頁

3.網(wǎng)頁掛馬

水坑攻擊：在政企人員頻繁訪問的網(wǎng)站或論壇中植入惡意代碼，受害者一旦訪問，瀏覽器會自動下載并執(zhí)行木馬程序。
廣告劫持：利用惡意廣告注入技術(shù)，在正常網(wǎng)頁的廣告彈窗分發(fā)木馬。

4.色情信息誘導(dǎo)

誘導(dǎo)下載：利用偽裝成色情視頻、圖片等資源的鏈接和附件，引誘受害者下載惡意文件。
釣魚網(wǎng)站：搭建釣魚網(wǎng)站并將其偽裝成色情網(wǎng)站，受害者在訪問或嘗試下載內(nèi)容時會被植入木馬。

色情引誘

5.游戲資源傳播

盜版游戲私服：通過私服游戲客戶端或外掛工具捆綁木馬程序，吸引受害者下載。
論壇分享：在游戲論壇或社群中發(fā)布偽裝成游戲補丁、福利資源的木馬程序，誘導(dǎo)受害者下載。

游戲私服

6.常見web Nday漏洞

已知漏洞攻擊：利用受害者使用的網(wǎng)站中常見的Nday漏洞（如Struts2、Log4j、WebLogic等）直接植入木馬，入侵受害者系統(tǒng)。
工具化攻擊：借助自動化漏洞掃描工具批量檢測受害者系統(tǒng)，并在漏洞存在時植入惡意程序。

7.社交信息

鍵盤和鼠標劫持：通過木馬獲取受害者設(shè)備的控制權(quán)限，利用受害者的社交軟件（如微信、企業(yè)微信、Telegram）向其聯(lián)系人群發(fā)惡意鏈接或文件，達到木馬傳播的目的。
信任鏈攻擊：偽裝為受害者本人發(fā)送的消息，增強惡意鏈接的可信度，從而擴散木馬傳播。

社交平臺傳播

8.供應(yīng)鏈

軟件更新劫持：通過入侵第三方軟件庫，篡改其中的更新包或安裝包，將木馬偽裝為合法軟件的部分功能，借助供應(yīng)鏈傳播至受害者系統(tǒng)。
外包或合作渠道滲透：利用受感染的外包服務(wù)商或合作伙伴的程序或系統(tǒng)，以共享文件或系統(tǒng)集成為媒介傳播木馬。

Github投毒事件

二

木馬迭代

“銀狐”木馬的執(zhí)行流程可分為以下三個階段：

單文件加載器：釋放白加黑文件
白加黑實現(xiàn)權(quán)限維持
執(zhí)行后門模塊

而木馬在各個階段的攻擊手法，也隨著時間的推移在不斷演變。其中，加載器的種類日趨多樣，從最初的.exe文件發(fā)展到如今的.chm、.bat、.vbs、.msi等格式。同時，在編程語言的運用上也越發(fā)多元，涵蓋了C、C++、C#、Go等多種語言。這一演變使得“銀狐”木馬能夠更加靈活地突破安全防御，增加了防范和檢測的難度。

偽裝文件名

如今，其后門模塊歷經(jīng)演變，也從原始Gh0st、大灰狼演變?yōu)镈cRat、Win0s，甚至開始利用國內(nèi)正規(guī)行為管理軟件。

第一階段：Gh0st

Gh0st 階段的木馬通常采用套MFC殼的方式，將惡意代碼塞入MFC程序初始化對話框之后。當(dāng)程序執(zhí)行到惡意代碼所在位置時，會通過簡單的異或解密惡意代碼，之后直接加載執(zhí)行惡意代碼。在此階段，木馬的后門主要是基于 Gh0st 內(nèi)核改版的灰鴿子、大灰狼遠控等遠控工具。

Gh0st 加載流程

Gh0st 服務(wù)端

大灰狼服務(wù)端

第二階段：DcRat

DcRat 是一種使用 C# 語言編寫的后門遠控工具。其背后的所依托的木馬技術(shù)也隨著 C# 語言的發(fā)展不斷演變。C# 語言與 .NET Framework 和 Windows 系統(tǒng)深度集成，憑借其豐富的標準庫和第三方庫，能夠更加便捷高效的實現(xiàn)木馬功能。隨著 .NET Core 的出現(xiàn)，C# 程序的運行平臺從 Windows 擴展到了 Linux 和 macOS，大幅提升了其跨平臺的適用性。這種演變不僅拓寬了木馬的傳播范圍，還增強了它的靈活性與隱蔽性，為安全防護帶來了新的挑戰(zhàn)。

DcRat加載器

DcRat服務(wù)端

第三階段：Win0s

自“銀狐”木馬采用 Win0s 作為后門模塊以來，其權(quán)限維持技術(shù)在不斷升級，與安全軟件的對抗也進入了白熱化階段?！般y狐”通過持續(xù)優(yōu)化惡意代碼加載器，結(jié)合內(nèi)存加載 PE、白加黑技術(shù)以及多樣化的進程注入手段，不斷突破安全防線。其中，“銀狐”對白加黑技術(shù)的利用尤為突出，它通過劫持白名單軟件，將自身偽裝為可信程序，從而規(guī)避殺軟的監(jiān)控和檢測。此外，“銀狐”還會通過多種系統(tǒng)特性進行提權(quán)操作，成功繞過進程鏈檢測機制，并利用BYOVD技術(shù)在驅(qū)動層展開對抗，由此確保攻擊者可以長期保持對目標系統(tǒng)的控制，以實現(xiàn)攻擊行為的持續(xù)隱蔽與高效執(zhí)行。

以下是銀狐目前使用的技術(shù)手法：

1.RPC （Remote Procedure Call）遠程調(diào)用

RPC （Remote Procedure Call）遠程調(diào)用是一種進程間通信（IPC）協(xié)議。該技術(shù)能夠隱藏網(wǎng)絡(luò)通信的復(fù)雜性，使計算機程序像調(diào)用本地程序一樣，對遠程系統(tǒng)（通常是另一臺計算機）上的程序或服務(wù)進行調(diào)用。RPC 遠程調(diào)利用 ALPC 進行底層消息傳遞，能夠通過 svchost.exe 啟動進程，而借助 RPC 遠程調(diào)用能夠?qū)崿F(xiàn)進程鏈的加白。

RPC 創(chuàng)建system權(quán)限進程

RPC提權(quán)

RPC創(chuàng)建計劃任務(wù)

RPC創(chuàng)建計劃任務(wù)

2.COM（組件對象模型）

COM（組件對象模型）是一種具有平臺無關(guān)性，且遵循面向?qū)ο笤瓌t的分布式系統(tǒng)。它定義了一套標準的通信機制，允許處于不同應(yīng)用程序或不同系統(tǒng)中的軟件組件進行互操作。

計劃任務(wù)

計劃任務(wù)

提權(quán)

提權(quán)

創(chuàng)建快捷方式

快捷方式

設(shè)置防火墻

防火墻

回調(diào)執(zhí)行惡意代碼

回調(diào)執(zhí)行惡意代碼

越權(quán)復(fù)制文件

復(fù)制文件

3.注入

注入技術(shù)是一種通過操作系統(tǒng)提供的進程內(nèi)存和線程控制API，將自定義代碼或動態(tài)鏈接庫（DLL）插入到目標進程的地址空間，以實現(xiàn)功能擴展或執(zhí)行特定任務(wù)的技術(shù)。

APC注入

APC注入

CreateRemoteThread & NtCreateThreadEx 注入

遠程線程注入

ResumeThread 注入

線程注入

4.DDR（Dead Drop Resolvers）

DDR（Dead Drop Resolvers）是一種攻擊者使用合法域名網(wǎng)站來承載命令和控制服務(wù)器（C2）信息的技術(shù)。攻擊者通常會利用該技術(shù)來繞過安全軟件的流量檢測。

遠程載荷云對象存儲COS

云對象存儲COS

云筆記

云筆記

5.BYOVD（Bring Your Own Vulnerable Driver）

BYOVD（Bring Your Own Vulnerable Driver）技術(shù)是指將存在漏洞的合法驅(qū)動程序投遞至目標系統(tǒng)，憑借合法驅(qū)動程序的簽名繞過DSE（強制驅(qū)動簽名）的限制，并通過該驅(qū)動實現(xiàn)摘除內(nèi)核的回調(diào)以及Rootkit的部署。

BYOVD

Win0s服務(wù)端

第四階段：行為管理與監(jiān)控軟件的利用

1.IP-Guard

IP-Guard是某廠商開發(fā)的行為監(jiān)控管理軟件，具有實時監(jiān)控與記錄、遠程控制、文件管理等功能，能夠?qū)τ脩艚K端的操作行為進行實時監(jiān)控、審計以及管理，廣泛應(yīng)用于企業(yè)內(nèi)部的安全管理。

通過溯源分析，“銀狐”木馬正在利用 IP-Guard 實現(xiàn)對受控主機進一步的權(quán)限維持。IP-Guard 生成的客戶端通常帶有數(shù)字簽名，能被大部分殺毒軟件默認信任，這為銀狐的隱匿提供了更好的偽裝。目前，火絨安全團隊已聯(lián)合 IP-Guard 官方展開針對性的打擊行動，能夠精準識別與查殺被濫用的 IP-Guard 版本，有效遏制銀狐木馬的傳播和非法行為。

IP-Guard 服務(wù)端

2.Ping32

Ping32 是國內(nèi)廠商開發(fā)的行為管理與監(jiān)控軟件，與IP-Guard類似，它通過多種功能模塊記錄、分析和控制終端用戶的行為，提供IT管理支持。

隨著安全廠商將 IP-Guard 濫用版本拉入黑名單并加強查殺力度，“銀狐”木馬正在調(diào)整策略，將權(quán)限維持工具更換為 Ping32 ，以進一步增強其隱匿性與對抗能力。木馬的活動主要涉及財務(wù)、賭博、詐騙等相關(guān)領(lǐng)域的控制。

Ping32 服務(wù)端

三

溯源分析

1.HFS

Rejetto HFS（HTTP File Server）是一款免費的 Windows 上基于 HTTP 協(xié)議的輕量級文件服務(wù)器軟件，以簡單易用、高度自定義的特性而受到歡迎，常用于快速文件共享和小型文件服務(wù)器的搭建。

通過對銀狐木馬的分析發(fā)現(xiàn)，其擅于使用Rejetto HFS作為惡意文件服務(wù)器，以下為發(fā)現(xiàn)的銀狐木馬文件服務(wù)器：

http://69.165.***.***:8888/

文件服務(wù)器

http://202.58.***.***:8821/

文件服務(wù)器

通過文件上傳時間可以看到，目前該木馬仍處于活躍傳播狀態(tài)。由于 HFS 存在 RCE 遠程執(zhí)行漏洞，我們可以通過此漏洞對銀狐主機進行反制，開展進一步的溯源。

漏洞利用

2.搜索引擎

惡意攻擊者會將釣魚網(wǎng)頁進行合法備案，將其偽裝成正規(guī)網(wǎng)站。因為合法備案增加了網(wǎng)站的可信度，所以用戶很容易對惡意網(wǎng)站產(chǎn)生信任。同時，攻擊者能夠利用搜索引擎的推廣機制，通過為惡意網(wǎng)頁支付推廣費用來提高其曝光率和排名，從而誘騙用戶點擊釣魚網(wǎng)頁，下載并運行病毒樣本。

以下為目前銀狐正在利用的釣魚網(wǎng)站相關(guān)信息：