“銀狐” 自曝光以來，便以其極強的隱蔽性著稱，對網絡安全帶來了重大威脅。其早期主要通過郵件和IM釣魚傳播，以竊取用戶數據為主要目標。但從2024年底至今，“銀狐”新變種在潛伏策略和社會工程學攻擊上都有了顯著升級。從近期的多起受害案例可見，“銀狐”惡意軟件開始進行大規模詐騙錢財的活動，有不少受害者遭受了直接的金錢損失。

近期，某企業內部突發了一次大規模的“釣魚”事件，經溯源后確認為“銀狐”惡意軟件的最新變種導致。此事件源于數周前，該企業內部的財務人員因在非官方網站下載了一款軟件，導致辦公電腦被植入木馬病毒。攻擊者利用木馬對該員工電腦進行了長達數周的潛伏，在掌握其工作習慣和IM軟件登錄狀態后，趁午休時段通過植入的惡意程序，借其身份建立企業內部通訊群組并發布虛假通知，誘導多名員工掃碼企圖實施詐騙。

深信服終端安全團隊結合近期幾十起攻擊案例中的樣本發現，“銀狐”在“免殺”對抗中大量使用了以下攻擊技術：

1、數字簽名偽裝：利用合法身份繞過檢測

2、文件“增肥”戰術：利用文件大小機制躲避掃描

3、借用合法工具：通過“白名單”軟件實施攻擊

4、內存和行為對抗持續升級

樣本分析：銀狐的免殺手法及深信服aES應對之法

對于這些“免殺”技術，我們是否只能被動挨打？不用怕！接下來將深入分析目前常見的樣本是怎么工作的，同時看看防守方能采取什么技術來進行有效查殺。

下面是一個銀狐木馬用于側加載的dll文件，可以看到，同一個文件可以關聯到大量的執行母體，這些母體程序看似互不相同，檢出這些文件的廠商數量也參差不齊，但其實這些程序本質上都是一樣的，因為執行起來后都會釋放同一套白加黑的遠控木馬。

“銀狐”團伙批量生產大量不同的加載器，里面包含大量無用代碼，或者是掏空正常程序的一部分填入加載器代碼，這類加載器代碼通常內容并不多。代碼量越少就意味著特征越少，而特征越少就意味著更容易變化進行免殺，將這類加載器藏在一些并不起眼的地方，混合大量的正常代碼，就可以免殺較多的靜態查殺引擎。

那這種方式就無懈可擊了嗎？當然不是！這類樣本通常只是靜態免殺能力強，但真正運行起來后就會顯露出大量的惡意行為。aES可以聯動云端能力，對樣本文件進行二次鑒定，通過動態分析等多種方式，多維度完成樣本鑒定，最終讓這些免殺樣本顯形。如果遇到可疑的文件，可將文件上傳至云沙箱進行二次鑒定。

下面再以一個典型樣本為例，簡單看一下病毒從點擊執行到遠控上線的全流程。

該樣本為一個MSI格式的安裝包，里面捆綁了一個正常軟件的安裝包和一個木馬加載器，在安裝過程中會執行起木馬加載器。

行為就是執行文件中的shellcode，如果讀取不到文件則從云端下載并保存。

動態加載的shellcode內容僅數十字節，主要用于解密出后一階段的PE加載器代碼和一個PE文件。

PE加載器主要的目的是解析PE結構，實現在內存中動態加載PE。

最終加載出的PE文件就是一個gh0st木馬變種，通過線程調用堆棧定位內存模塊，可以快速找到大量惡意代碼和特征，而此前多階段的載荷隱匿技術均是為最終加載遠控模塊做鋪墊的。

從這個流程中可以看到，“銀狐”團伙將真正的遠控模塊藏得很深，多層嵌套并組合不同的手法進行攻擊，遠控木馬往往只在最后一步進行加載。無論此前步驟中如何免殺，病毒最終的遠控模塊都需要在內存中進行加載和執行，aES內存檢測技術針對各類遠控木馬的特性，精準檢測內存中駐留的后門，然后清除內存木馬相關的進程、線程、啟動項以及文件等。

如何更好地防范“銀狐”病毒？

“銀狐”木馬在利益驅使下衍生了快速變種能力，通過hash或者文件特征方式很難完全阻止0號樣本落地運行。不過，“銀狐”木馬所使用的內存駐留項，開發成本更高，特征更不易變。這就要求終端安全廠商持續運營、快速響應，持續更新覆蓋hash、文件特征、內存特征、特定行為等維度的規則來查殺新變種，并清除殘留木馬。

為應對“銀狐”變種的復雜攻擊，建議可以通過優化終端安全配置、提升日常安全意識等，構建起多重堅固的防護體系。

終端安全配置層面：

1、及時更新病毒庫規則。

2、針對可疑中招的終端進行定期掃描。

3、針對明確中招的終端，通過專殺工具及時排查。

安全意識層面：

1、建立"三不原則"：不輕信群發通知、不點擊陌生鏈接、不轉發未驗證文件。

2、警惕IM中非工作時段發送的消息。

3、在長時間不使用電腦（如：下班后）的情況下請關機或休眠。

“銀狐”病毒的應對之法

【深信服云網端安全解決方案】

以AI加持，為安全效果而生，云地協同、聯動閉環，云端安全專家7*24小時守護并及時發現、研判、響應事件，為安全事件做全流程的響應和兜底。云網端安全解決方案以簡單、有效、可生長的價值，保障客戶業務連續性，提供可承諾可兜底的安全效果。方案基于用戶現有的建設基礎，體系化規劃網絡安全建設。目前，深信服云網端安全解決方案可抵御銀狐木馬威脅。

【銀狐病毒查殺工具】

深信服終端安全團隊升級了銀狐查殺補丁包，并免費開放銀狐專殺工具，以助力廣大用戶應對銀狐病毒的攻擊。

1、如果您是深信服用戶，針對近期系列銀狐木馬事件，深信服終端產品大幅提升了銀狐查殺能力，請將【深信服統一端點安全管理系統aES】升級到 6.0.2 R2 版本。如果平臺能夠聯網到深信服云圖，可直接在線更新補丁包，如果無法聯網到深信服云圖，請聯系深信服400售后（電話：400-630-6430）獲取離線補丁包。

2、如果您不是深信服的用戶，也不用擔心，深信服的【銀狐專殺工具】支持對最新銀狐木馬的查殺，掃描下方二維碼添加官方企微，即可免費獲取專殺工具的下載鏈接。