员工装了个“假钉钉”，3天后电脑开始在微信群自动发诈骗二维码

一次看似普通的软件下载安装，最后却演变成一台门店电脑被远程操控、在微信群自动发送钓鱼二维码的安全事件。

4月17日下午，某客户旗下一家连锁门店的电脑出现异常。

当时用户并不在电脑旁，但这台电脑却在微信群里“自己动了起来”，向群内发送钓鱼二维码，诱导他人扫码付款。直到客户发现异常并请求排查，这起事件才进入安全团队视野。

最终确认，这并不是普通的系统故障，而是一起典型的银狐木马入侵事件。

更值得警惕的是，这台终端并非完全没有安全软件，却依然在木马落地、驻留、远控和对外传播的整个过程中，没有形成有效拦截。

这也让一个问题变得非常现实：

为什么传统杀毒软件没能发现它？如果这台终端当时部署了UniEDR，攻击链又会在哪一步被切断？

一次看似普通的下载，为什么会变成一次远控入侵？

结合现场排查结果，这次攻击链并不复杂，但足够隐蔽。

4月14日，用户从仿冒网站下载了一个“钉钉安装包”并执行。表面上看，它只是一个常见的安装程序；实际上，这正是银狐木马的入口。

在很多企业环境里，员工对“钉钉、微信、输入法、办公插件”这类软件的下载安装早已习以为常。攻击者也正是利用这种心理，通过高仿官网、相似文件名和看起来“没什么问题”的安装流程，让用户主动完成木马投递。

▲用户下载目录中出现伪装成正常软件的可疑压缩包

继续排查后可以看到，这个所谓的“钉钉安装包”虽然名称看起来正常，但文件属性已经暴露出异常线索。尤其是原始文件名信息，并不像真实办公软件那样规范。

▲文件属性显示其原始文件名存在明显异常，是排查过程中的关键证据之一

为什么传统杀毒软件没报警？

很多人会直觉地认为：电脑明明装了主流杀毒软件，为什么还是中招了？

原因在于，银狐这类木马的核心思路，本来就是绕开传统基于文件特征的检测方式。

简单来说，它最危险的部分往往并不直接写在安装包表面，而是在运行过程中才被解密、加载，甚至直接注入到内存里执行。这样一来，传统杀毒软件即使扫描了落地文件，也很可能只能看到一个“看起来还算正常”的外壳。

问题不在于“有没有扫描”，而在于“能不能看见运行时真正发生了什么”。

木马是怎么一步步控制这台电脑的？

从应急分析结果来看，这个“假钉钉”被执行后，主要完成了四件事。

第一，它将自身释放到系统目录中，并伪装成看起来像正常软件组件的文件，试图混入常规进程环境。

第二，它建立开机自启动机制，确保即使电脑重启，木马依然能够继续运行。

▲木马通过启动项快捷方式实现持久化，保证重启后仍可继续活动

第三，它不再依赖明显的恶意文件活动，而是转向更隐蔽的内存操作和进程注入，让恶意代码借助合法进程外壳继续执行。

第四，它与外部控制端建立连接，为后续的远程操控提供通道。

也正因为如此，最终才出现了“用户不在场，但电脑却在微信群自动发送钓鱼二维码”的情况。

从业务视角看，这已经不是“终端中毒”这么简单，而是一次能够直接影响客户、门店和品牌信誉的安全事件。

如果部署了联软UniEDR，攻击会停在哪里？

答案是从木马开始执行起。

案例说明了银狐虽然能够绕过传统文件检测，但它在运行过程中会暴露出非常清晰的行为特征。

在联软UniEDR测试环境复现样本后，可以看到从木马执行开始，相关行为已经被连续捕获出来，包括异常内存申请、跨进程线程注入、进程镂空准备、持久化动作以及后续联网行为。

▲在联软UniEDR测试环境复现样本后，从行为链角度看，多个关键阶段都已经形成连续告警

如果拆开来看，几个关键动作尤其典型。

Stage 1：异常内存申请

木马开始向自身申请可执行内存并写入恶意载荷，这一步往往是很多内存型攻击真正“露头”的起点。

▲在联软UniEDR测试环境复现样本后，木马执行后出现异常内存申请行为

Stage 2：跨进程线程注入

随后，木马会将恶意代码注入到其他进程中执行，借助合法进程作为外壳隐藏自身。

▲跨进程线程上下文操作，是银狐家族非常典型的攻击手法

Stage 3：为进程镂空做准备

再往后，木马会进一步修改目标进程的内存属性，为后续更深层的恶意执行铺路。

▲目标进程的内存保护属性被修改，攻击行为进一步升级

Stage 4：权限维持与持久化

木马通过启动项、注册表等方式维持高权限运行，避免被系统重启或普通清理动作轻易移除。

▲注册表关键路径被修改，表明木马正在尝试维持权限与驻留

Stage 5：内存威胁最终命中

当恶意代码在内存中真正展开后，内存威胁检测会进一步给出更明确的判定信号。

▲恶意代码即使不以明显恶意文件形态存在，也会在内存中暴露真实风险

换句话说，在 UniEDR 的复现分析视角下，银狐能伪装文件名，能绕过静态查杀，但很难伪装自己“正在做什么”。

这正是 EDR 与传统杀毒软件的核心区别：

传统杀软更擅长看“文件像不像恶意样本”；

而EDR更擅长看“进程此刻是不是在做恶意行为”。

它还会主动对外通信

除了本地驻留和进程注入，这类木马还会主动与外部控制端建立通信。

在本次样本运行过程中，可以看到相关 DNS 查询与 TCP 连接行为，指向同一外部地址。

▲在UniEDR测试环境复现样本后，木马运行后出现对可疑外部地址的 DNS 查询行为

▲终端进一步与外部地址建立TCP连接，为远程控制提供通道

这也是为什么，一旦终端缺少对运行态攻击的有效防护，攻击者几乎可以把它当成一个可远程操控的跳板。

这起事件给企业提了什么醒？

这次事件表面上发生在一台门店电脑上，但它暴露出的，其实是很多企业共有的终端安全短板。

一是门店、分支机构、前台等场景的终端覆盖不完整。一旦这些设备没有纳入统一防护和监测体系，就很容易成为攻击者优先下手的入口。

二是过度依赖传统杀毒软件，把“装了杀软”误认为“具备了终端对抗能力”。面对银狐这类以运行时对抗为主的威胁，仅靠传统查杀已经越来越不够。

三是很多企业的安全动作仍停留在事后补救。等到木马开始远控、对外传播甚至引发业务损失时，再去逐台排查和手动清理，成本高、效率低，风险也更大。

这也是为什么，终端安全建设不能只停留在“能不能扫出病毒”，而要进一步走向“能不能持续发现异常、阻断攻击、联动处置”。

银狐木马并不是新话题，但它仍然频繁得手，原因并不神秘。它利用的是员工对常用办公软件的信任，规避的是传统文件检测的盲区，攻击的是许多企业长期没有补齐的终端运行态防护能力。

这起案例再次说明，一台没有有效行为检测能力的终端，在攻击者眼里几乎等于“裸奔”。

对于企业而言，真正需要解决的问题不是“木马是不是伪装得足够像”，而是“当它开始执行危险动作时，我们能不能第一时间看见并拦住它”。

如果你的企业也面临以下挑战：

门店、分支机构终端数量多，覆盖难度大；

传统杀毒软件对新型木马、内存攻击感知不足；

安全团队人手有限，难以及时处理分散终端上的高危事件。

那么，基于行为检测、内存检测和自动化处置能力的终端安全体系，已经不再是“加分项”，而是越来越必要的基础能力。

联软UniEDR 提供从事前预防、事中检测到事后处置的全链路终端防护能力，能够帮助企业更早发现银狐这类木马的关键行为，并尽可能把攻击拦在造成影响之前。