今年以來，“銀狐木馬病毒”攻擊活動愈演愈烈。國家計算機病毒應(yīng)急處理中心和計算機病毒防治技術(shù)國家工程實驗室在中國境內(nèi)連續(xù)捕獲一系列針對中國網(wǎng)絡(luò)用戶，特別是財務(wù)和稅務(wù)工作人員用戶的木馬病毒。經(jīng)過分析后發(fā)現(xiàn)這些病毒均為“銀狐”家族木馬病毒變種。

什么是?“銀狐”木馬病毒？

?銀狐又名 “游蛇”、“谷墮大盜”，是一款專門針對政府、高校及企事業(yè)單位等關(guān)鍵行業(yè)等從業(yè)人員進行攻擊的木馬病毒變種之一。銀狐木馬能夠獲取受害者的計算機控制權(quán)限并長期駐留，通過遠程控制受害者的計算機，竊取用戶敏感信息，并通過監(jiān)控受害者的日常操作，達到竊取隱私的目的，為后續(xù)實施詐騙等行為鋪路。

銀狐木馬攻擊過程：利用誘導(dǎo)內(nèi)容，遠控木馬實施釣魚攻擊

01傳播階段：銀狐木馬通常利用微信、電子郵件、釣魚網(wǎng)頁等渠道進行傳播。利用緊迫感誘導(dǎo)用戶立即執(zhí)行惡意程序。傳播給受害者。

02誘導(dǎo)執(zhí)行階段：用戶一旦點擊下載并解壓這些偽裝成正常工作文件的壓縮包，運行其中的惡意可執(zhí)行文件或腳本，木馬便開始在終端靜默執(zhí)行，建立與攻擊者惡意C&C服務(wù)器的連接通道。

03持久駐留與惡意操作階段:木馬成功植入后，通過“白+黑”（白文件+黑dll）的攻擊手法規(guī)避常規(guī)殺毒軟件的監(jiān)測，長期潛伏和竊取信息

銀狐木馬的防御難點：“毒如其名”，善于偽裝

自2022年開始活躍以，銀狐已迭代多個版本，持續(xù)增強免殺對抗與持久化駐留能力。最新變種在攻擊手段上更為狡猾和復(fù)雜，它充分利用人性弱點，偽裝吸引用戶點擊下載到PC上，并通過多階段內(nèi)存加載、白加黑劫持、驅(qū)動級對抗等先進技術(shù)手段，巧妙地規(guī)避殺軟檢測。

1、指數(shù)級增長的變種數(shù)量，銀狐特征捕捉難度大

銀狐木馬通過模塊化設(shè)計和自動化工具批量生成變種，僅2024-2025年間就衍生出“游蛇”“谷墮大盜”等數(shù)十種變體，加載器技術(shù)迭代周期縮短至數(shù)周，指數(shù)級增長的變種數(shù)量，使得銀狐特征難以捕捉，檢測難。

2、多階段加載與內(nèi)存駐留技術(shù)，規(guī)避靜態(tài)掃描

銀狐通常通過壓縮包（如ZIP、RAR）分發(fā)，解壓后釋放看似正常的lnk, vbs或msi文件。這些文件非PE文件,腳本通常混淆加密,可以在第一時間先規(guī)避AV查殺。

3、白加黑與高級注入技術(shù)，偽裝正常軟件悄然潛入，致盲安全軟件

1）合法簽名程序劫持，導(dǎo)致放行惡意行為

銀狐利用帶有合法數(shù)字簽名的文件程序（如Avira, usbmon, iobit）作為掩護，安全軟件因信任合法簽名，可能放行惡意行為。

2）斷鏈注入，規(guī)避檢測

銀狐通過APC注入、反射DLL注入、進程挖空等方式將代碼注入合法進程（如瀏覽器、辦公軟件），切斷進程父子關(guān)系，規(guī)避基于進程鏈的檢測。

3）致盲安全軟件

銀狐會試圖摘除安全軟件的監(jiān)控功能，或者致盲系統(tǒng)ETW（Event Tracing for Windows，內(nèi)置事件跟蹤機制），讓安全軟件即使在正常執(zhí)行的過程中也無法感知木馬的動作。

4、多樣化C2通信與隱蔽通道，對抗流量檢測

銀狐將命令與控制服務(wù)器（C2）信息隱藏在合法網(wǎng)站（如GitHub頁面、云存儲鏈接）中，木馬定期訪問這些站點獲取指令。流量混雜于正常訪問。同時通信數(shù)據(jù)使用AES加密或自定義算法加密，并偽裝成HTTPS、DNS等合法協(xié)議流量，難以被流量識別攔截。

華為HiSec Endpoint關(guān)鍵方案和競爭力:
矩陣式防御體系直擊 “銀狐” 要害

華為HiSec Endpoint構(gòu)建了一套全方位、多層次的矩陣式防御體系，為用戶的終端安全保駕護航。

防御層一:AI釣魚檢測，精準識別未知釣魚木馬。

基于機器學(xué)習(xí)和自然語言處理技術(shù)，分析學(xué)習(xí)海量惡意/良性樣本，建立釣魚特征和行為基線，能夠精準識別未知釣魚URL和“簡歷、發(fā)票、報稅”類釣魚木馬樣本。

防御層二:第三代靜態(tài)檢測引擎CDE，檢測率業(yè)界領(lǐng)先。

采用MDL（Malware Detection Language，惡意軟件檢測語言）專有病毒語言，以少量資源精準覆蓋海量變種；集成專有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法，賽可達測試靜態(tài)檢出率達99.39%。

防御層三:混淆腳本檢測，查殺非PE惡意文件。

針對銀狐木馬采用壓縮包釋放的非PE惡意文件，逃避AV查殺。Hisec Endpoint支持腳本內(nèi)容動態(tài)解密還原腳本真實攻擊意圖，基于頻繁模式挖掘算法形成惡意腳本特征集，提升無文件命令行和加密腳本行為檢測率。

防御層四:高級躲避檢測，精準識別避檢測行為。

針對銀狐木馬利用白加黑或高級注入方式利用系統(tǒng)白進程做后門通訊，逃避檢測。Hisec Endpoint基于端云協(xié)同的創(chuàng)新溯源圖，支持進程注入、注冊表劫持、白文件捆綁等多種逃避檢測技術(shù)及白程序濫用技術(shù)，精準識別銀狐躲避檢測行為。

防御層五:Shellcode檢測，攔截外部通信。

HiSec Endpoint產(chǎn)品在可疑內(nèi)存事件上打點,比如內(nèi)存分配，權(quán)限更改，內(nèi)存執(zhí)行, 準確識別Shellcode指令，配合內(nèi)存陷阱技術(shù)抓取銀狐木馬的控制服務(wù)器地址，攔截外部服務(wù)器通信。

防御層六:快速內(nèi)存掃描，精準識別Gh0st木馬變種。

實時識別出白加黑木馬的可疑內(nèi)存區(qū)塊，對內(nèi)存區(qū)域使用高速相似度掃描算法以精確識別銀狐的各種Gh0st木馬變種。

防御層七:端網(wǎng)聯(lián)動檢測惡意/異常連接。

HiSec Endpoint支持與防火墻聯(lián)動。防火墻檢測出銀狐訪問惡意域名后，發(fā)送告警事件到云端乾坤，乾坤基于聚合和關(guān)聯(lián)生成威脅事件，定位失陷主機，借助安全響應(yīng)編排能力，調(diào)用該失陷主機EDR接口，結(jié)束銀狐進程，隔離惡意文件。

此外，HiSec Endpoint同時可聯(lián)動乾坤綜合關(guān)聯(lián)溯源，自動還原攻擊意圖與鏈條，檢測多主機橫向移動及高級持續(xù)隱蔽攻擊。在iMaster NCE-Campus 集成部署模式下，能實現(xiàn)身份化認證，動態(tài)調(diào)整用戶準入與訪問權(quán)限，保障企業(yè)資產(chǎn)安全。

成功防御案例：幫助省交通行業(yè)客戶成功檢測“銀狐病毒”

近日，某省單位雖部署終端安全軟件，內(nèi)網(wǎng)主機仍遭釣魚攻擊感染 “銀狐病毒”，對業(yè)務(wù)造成嚴重影響?，F(xiàn)網(wǎng)部署華為HiSec Endpoint后，發(fā)現(xiàn)該病毒將惡意代碼注入VSSVC 和svchost進程，執(zhí)行后遭黑客遠程控制。HiSec Endpoint 識別Shellcode指令，結(jié)合內(nèi)存陷阱技術(shù)抓取控制服務(wù)器地址，成功攔截外部通信，精準斬斷遠程控制，助力客戶守護企業(yè)數(shù)據(jù)資產(chǎn)。