银狐木马病毒分析及防治

1.引言

近期，通过投放银狐木马病毒入侵公司电脑，从而冒充企业老板或客户诈骗财会人员的“精准投毒”类电信网络诈骗案件高发，造成相关企业巨大损失，为此，协会邀请了专家针对此类事件进行了分析，详情如下：

2.什么是银狐木马

“银狐”是一种恶意软件，攻击者通过微信、钉钉等聊天工具、钓鱼邮件、钓鱼网站传播伪装的恶意程序。攻击者诱使受害者执行伪装程序，最终下载远控木马，对受害者电脑进行控制，进而实施诈骗活动。

2.1银狐进化简史

当代“卷王”，6大版本持续升级：银狐木马是今年最“卷”病毒之一，在不到一年的时间里迭代6大版本，其在攻击方式，攻击组件部署方式，恶意样本投递方式上不断升级，变化，与杀软持续对抗。除此之外，银狐木马还使用白加黑、加密payload、内存加载等免杀手段，逃避杀软检测。

2.2 攻击流程简介

针对银狐木马的检测，本质上是攻防的对抗。“银狐”是一个已经被广泛地去中心化传播的黑产工具，任何攻击者都可以获取和使用，目前检测到的活跃的且被公开的团伙多达5个，还有更多不知名或者未公开黑产在持续使用银狐木马。

基于近期捕获到银狐其中一个版本的源码，而基于银狐的攻击也呈现出来如下特征说明其是工具而非团伙：

1.银狐相关样本变种之多、变化之快，是单个团伙无法做到的。截至目前为止，威胁狩猎到的家族变种已经超过5大类，就已经多达上千种细分子类型；

2.攻击者资产之广泛和分散，单个黑灰产团伙极难拥有如此庞大而分散的资产集合；投递方式非常多样，包括邮件钓鱼、水坑、微信社工投递木马等，水坑攻击中伪造的软件多达数十款，包括但不限于软件 WPS、PDF、CAD、qwbpro（企微宝）、微信、加速器、360模块，压缩软件、PPT，美图和向日葵软件等。

3.银狐木马的特点

背后代表的是众多活跃在东南亚为主地区的黑产团伙大小集团以产业化方式进行多组织分工运营，使得我们对抗的不再是单独一个恶意程序，而是在与一个黑色产业链上的多个组织进行对抗。有专门研究抵抗杀毒软件的组织，有专门进行传播的组织，有专门进行诈骗的组织，参与人数众多，尤其是诈骗小团伙数不胜数。他们瞄准特定行业或企业，采用钓鱼攻击为主，对金融、教育、设计、电商等各类型企事业单位进行渗透和破坏。

针对性极强。尤其是针对接触大量财务交易的高价值受害者（老板、企业高管、财务人员等）。银狐会伪装成受害者常用的办公软件压缩包、热点新闻名称、上级通知、财务发票文件、视频图片文件等，目的是降低受害者防范意识，诱使受害者执行恶意程序。

侵入后并不以破坏为目的，而以诈骗为目的进行驻留。

￮通过控制社交账户或邮箱，再模拟受害者行为在公司内传播木马，以寻找高价值受害者。

￮驻留的木马实现截屏、录屏、监控等方式，“观察”公司财务转账及内部交流情况，伺机作案。

￮实施的诈骗手段如：冒充领导要求公司财务人员紧急进行大额转账，最终使企业受到严重损失。

￮如果“银狐”木马叠加“勒索”病毒，则企业的隐私数据、业务稳定运行均将受到破坏，将造成更大损失。

￮诈骗团队还会通过控制被害者社交账号，对外发布不实的反动、色情等信息，以此来要挟受害者交出金钱等财物。

免杀抵抗的技术手段上，“银狐”也会迷惑杀毒软件的传统检测方式，恶意程序会通过“白加黑”、伪装、混淆、代码拼接，各种进程绑架注入、ShellCode执行等方法逃避传统防病毒软件的检测。（如“白加黑”借助windows系统的正常接口加载恶意程序），一旦中招，银狐木马就会以无文件方式运行并持久化攻占客户主机。

木马恶意程序内包含监控受害者主机的手段非常全面，包括：

￮主机全盘文件扫描、

￮前/后台运行软件屏幕监控、

￮播放音视频监控、

￮麦克风/摄像头监控、

￮键盘输入监控、

￮浏览器记录密码及访问网站记录监控、

￮加密文件破解、

￮远程桌面控制等。

4.银狐木马如何防治

亚信安全策划并推出了“猎狐计划”，旨在通过一套全面且系统的安全策略，确保企业免受银狐木马的侵扰。

该专项行动将分为三个核心阶段，以确保我们能够从多个维度和层面出发，对银狐木马进行全面防范。

事前风险排查：在“银狐”风险事件爆发之前，可以根据“银狐”木马的远控特性，可以通过防毒墙监测DNS流量，结合MSS专家运营分析，检测非法DNS查询，判别网络中是否存在”银狐“风险，同时通过终端安全能力，清除风险，实现事前风险排查闭环。

事中应急处置：一旦发生“银狐”风险事件，需要立即启动应急响应机制。首先可以通过“银狐”木马专杀工具快速排查企业中已经存在的“银狐”木马；其次需要建立能够持续监测、联动处置的“银狐”木马治理能力，并结合MSS专家运营分析、溯源，可以形成对“银狐”木马识别、防护、检测、处置等能力，长期有效应对“银狐”风险。同时，对于提供“银狐”防护能力的产品可以进行统一管理，统一策略下发等，并且支持可视化呈现“银狐”风险的趋势与态势等。

事后全面加固：在成功应对“银狐”木马的攻击后，需要通过终端安全和主机安全系统对企业的安全体系进行全面加固。这包括修复已知的安全漏洞、升级安全防护措施、加强安全培训和意识教育等多个方面。我们的目标是确保企业在未来能够更好地抵御类似的安全威胁，保障企业的财务、数据等核心利益不受损害。

通过“猎狐计划”专项的实施，亚信安全将帮助企业构建一个更加安全、稳定的网络环境，在亚信安全的专业护航下，企业可以避免“银狐”木马的侵扰，实现更加稳健的发展。

在广东省公安厅的指导下，协会参与发起和运营广东省网络安全应急响应中心，以“情报+指挥+处置”三位一体为网络安全应急处置模式；中心采取公益服务的方式，面向全省关键信息基础设施、重要信息系统、高科技企业网络，协助开展网络安全事件应急处置、安全风险防范应对等工作。

来源：广东省网络安全应急响应中心