今年以來(lái)，“銀狐木馬病毒”攻擊活動(dòng)愈演愈烈。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室在中國(guó)境內(nèi)連續(xù)捕獲一系列針對(duì)中國(guó)網(wǎng)絡(luò)用戶，特別是財(cái)務(wù)和稅務(wù)工作人員用戶的木馬病毒。經(jīng)過(guò)分析后發(fā)現(xiàn)這些病毒均為“銀狐”家族木馬病毒變種。

什么是?“銀狐”木馬病毒？

?銀狐又名 “游蛇”、“谷墮大盜”，是一款專門針對(duì)政府、高校及企事業(yè)單位等關(guān)鍵行業(yè)等從業(yè)人員進(jìn)行攻擊的木馬病毒變種之一。銀狐木馬能夠獲取受害者的計(jì)算機(jī)控制權(quán)限并長(zhǎng)期駐留，通過(guò)遠(yuǎn)程控制受害者的計(jì)算機(jī)，竊取用戶敏感信息，并通過(guò)監(jiān)控受害者的日常操作，達(dá)到竊取隱私的目的，為后續(xù)實(shí)施詐騙等行為鋪路。

銀狐木馬攻擊過(guò)程：利用誘導(dǎo)內(nèi)容，遠(yuǎn)控木馬實(shí)施釣魚(yú)攻擊

01傳播階段：銀狐木馬通常利用微信、電子郵件、釣魚(yú)網(wǎng)頁(yè)等渠道進(jìn)行傳播。利用緊迫感誘導(dǎo)用戶立即執(zhí)行惡意程序。傳播給受害者。

02誘導(dǎo)執(zhí)行階段：用戶一旦點(diǎn)擊下載并解壓這些偽裝成正常工作文件的壓縮包，運(yùn)行其中的惡意可執(zhí)行文件或腳本，木馬便開(kāi)始在終端靜默執(zhí)行，建立與攻擊者惡意C&C服務(wù)器的連接通道。

03持久駐留與惡意操作階段:木馬成功植入后，通過(guò)“白+黑”（白文件+黑dll）的攻擊手法規(guī)避常規(guī)殺毒軟件的監(jiān)測(cè)，長(zhǎng)期潛伏和竊取信息

銀狐木馬的防御難點(diǎn)：“毒如其名”，善于偽裝

自2022年開(kāi)始活躍以，銀狐已迭代多個(gè)版本，持續(xù)增強(qiáng)免殺對(duì)抗與持久化駐留能力。最新變種在攻擊手段上更為狡猾和復(fù)雜，它充分利用人性弱點(diǎn)，偽裝吸引用戶點(diǎn)擊下載到PC上，并通過(guò)多階段內(nèi)存加載、白加黑劫持、驅(qū)動(dòng)級(jí)對(duì)抗等先進(jìn)技術(shù)手段，巧妙地規(guī)避殺軟檢測(cè)。

1、指數(shù)級(jí)增長(zhǎng)的變種數(shù)量，銀狐特征捕捉難度大

銀狐木馬通過(guò)模塊化設(shè)計(jì)和自動(dòng)化工具批量生成變種，僅2024-2025年間就衍生出“游蛇”“谷墮大盜”等數(shù)十種變體，加載器技術(shù)迭代周期縮短至數(shù)周，指數(shù)級(jí)增長(zhǎng)的變種數(shù)量，使得銀狐特征難以捕捉，檢測(cè)難。

2、多階段加載與內(nèi)存駐留技術(shù)，規(guī)避靜態(tài)掃描

銀狐通常通過(guò)壓縮包（如ZIP、RAR）分發(fā)，解壓后釋放看似正常的lnk, vbs或msi文件。這些文件非PE文件,腳本通?；煜用?可以在第一時(shí)間先規(guī)避AV查殺。

3、白加黑與高級(jí)注入技術(shù)，偽裝正常軟件悄然潛入，致盲安全軟件

1）合法簽名程序劫持，導(dǎo)致放行惡意行為

銀狐利用帶有合法數(shù)字簽名的文件程序（如Avira, usbmon, iobit）作為掩護(hù)，安全軟件因信任合法簽名，可能放行惡意行為。

2）斷鏈注入，規(guī)避檢測(cè)

銀狐通過(guò)APC注入、反射DLL注入、進(jìn)程挖空等方式將代碼注入合法進(jìn)程（如瀏覽器、辦公軟件），切斷進(jìn)程父子關(guān)系，規(guī)避基于進(jìn)程鏈的檢測(cè)。

3）致盲安全軟件

銀狐會(huì)試圖摘除安全軟件的監(jiān)控功能，或者致盲系統(tǒng)ETW（Event Tracing for Windows，內(nèi)置事件跟蹤機(jī)制），讓安全軟件即使在正常執(zhí)行的過(guò)程中也無(wú)法感知木馬的動(dòng)作。

4、多樣化C2通信與隱蔽通道，對(duì)抗流量檢測(cè)

銀狐將命令與控制服務(wù)器（C2）信息隱藏在合法網(wǎng)站（如GitHub頁(yè)面、云存儲(chǔ)鏈接）中，木馬定期訪問(wèn)這些站點(diǎn)獲取指令。流量混雜于正常訪問(wèn)。同時(shí)通信數(shù)據(jù)使用AES加密或自定義算法加密，并偽裝成HTTPS、DNS等合法協(xié)議流量，難以被流量識(shí)別攔截。

華為HiSec Endpoint關(guān)鍵方案和競(jìng)爭(zhēng)力:
矩陣式防御體系直擊 “銀狐” 要害

華為HiSec Endpoint構(gòu)建了一套全方位、多層次的矩陣式防御體系，為用戶的終端安全保駕護(hù)航。

防御層一:AI釣魚(yú)檢測(cè)，精準(zhǔn)識(shí)別未知釣魚(yú)木馬。

基于機(jī)器學(xué)習(xí)和自然語(yǔ)言處理技術(shù)，分析學(xué)習(xí)海量惡意/良性樣本，建立釣魚(yú)特征和行為基線，能夠精準(zhǔn)識(shí)別未知釣魚(yú)URL和“簡(jiǎn)歷、發(fā)票、報(bào)稅”類釣魚(yú)木馬樣本。

防御層二:第三代靜態(tài)檢測(cè)引擎CDE，檢測(cè)率業(yè)界領(lǐng)先。

采用MDL（Malware Detection Language，惡意軟件檢測(cè)語(yǔ)言）專有病毒語(yǔ)言，以少量資源精準(zhǔn)覆蓋海量變種；集成專有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法，賽可達(dá)測(cè)試靜態(tài)檢出率達(dá)99.39%。

防御層三:混淆腳本檢測(cè)，查殺非PE惡意文件。

針對(duì)銀狐木馬采用壓縮包釋放的非PE惡意文件，逃避AV查殺。Hisec Endpoint支持腳本內(nèi)容動(dòng)態(tài)解密還原腳本真實(shí)攻擊意圖，基于頻繁模式挖掘算法形成惡意腳本特征集，提升無(wú)文件命令行和加密腳本行為檢測(cè)率。

防御層四:高級(jí)躲避檢測(cè)，精準(zhǔn)識(shí)別避檢測(cè)行為。

針對(duì)銀狐木馬利用白加黑或高級(jí)注入方式利用系統(tǒng)白進(jìn)程做后門通訊，逃避檢測(cè)。Hisec Endpoint基于端云協(xié)同的創(chuàng)新溯源圖，支持進(jìn)程注入、注冊(cè)表劫持、白文件捆綁等多種逃避檢測(cè)技術(shù)及白程序?yàn)E用技術(shù)，精準(zhǔn)識(shí)別銀狐躲避檢測(cè)行為。

防御層五:Shellcode檢測(cè)，攔截外部通信。

HiSec Endpoint產(chǎn)品在可疑內(nèi)存事件上打點(diǎn),比如內(nèi)存分配，權(quán)限更改，內(nèi)存執(zhí)行, 準(zhǔn)確識(shí)別Shellcode指令，配合內(nèi)存陷阱技術(shù)抓取銀狐木馬的控制服務(wù)器地址，攔截外部服務(wù)器通信。

防御層六:快速內(nèi)存掃描，精準(zhǔn)識(shí)別Gh0st木馬變種。

實(shí)時(shí)識(shí)別出白加黑木馬的可疑內(nèi)存區(qū)塊，對(duì)內(nèi)存區(qū)域使用高速相似度掃描算法以精確識(shí)別銀狐的各種Gh0st木馬變種。

防御層七:端網(wǎng)聯(lián)動(dòng)檢測(cè)惡意/異常連接。

HiSec Endpoint支持與防火墻聯(lián)動(dòng)。防火墻檢測(cè)出銀狐訪問(wèn)惡意域名后，發(fā)送告警事件到云端乾坤，乾坤基于聚合和關(guān)聯(lián)生成威脅事件，定位失陷主機(jī)，借助安全響應(yīng)編排能力，調(diào)用該失陷主機(jī)EDR接口，結(jié)束銀狐進(jìn)程，隔離惡意文件。

此外，HiSec Endpoint同時(shí)可聯(lián)動(dòng)乾坤綜合關(guān)聯(lián)溯源，自動(dòng)還原攻擊意圖與鏈條，檢測(cè)多主機(jī)橫向移動(dòng)及高級(jí)持續(xù)隱蔽攻擊。在iMaster NCE-Campus 集成部署模式下，能實(shí)現(xiàn)身份化認(rèn)證，動(dòng)態(tài)調(diào)整用戶準(zhǔn)入與訪問(wèn)權(quán)限，保障企業(yè)資產(chǎn)安全。

成功防御案例：幫助省交通行業(yè)客戶成功檢測(cè)“銀狐病毒”

近日，某省單位雖部署終端安全軟件，內(nèi)網(wǎng)主機(jī)仍遭釣魚(yú)攻擊感染 “銀狐病毒”，對(duì)業(yè)務(wù)造成嚴(yán)重影響?，F(xiàn)網(wǎng)部署華為HiSec Endpoint后，發(fā)現(xiàn)該病毒將惡意代碼注入VSSVC 和svchost進(jìn)程，執(zhí)行后遭黑客遠(yuǎn)程控制。HiSec Endpoint 識(shí)別Shellcode指令，結(jié)合內(nèi)存陷阱技術(shù)抓取控制服務(wù)器地址，成功攔截外部通信，精準(zhǔn)斬?cái)噙h(yuǎn)程控制，助力客戶守護(hù)企業(yè)數(shù)據(jù)資產(chǎn)。