今年以來，“銀狐木馬病毒”攻擊活動愈演愈烈。國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室在中國境內連續(xù)捕獲一系列針對中國網(wǎng)絡用戶，特別是財務和稅務工作人員用戶的木馬病毒。經(jīng)過分析后發(fā)現(xiàn)這些病毒均為“銀狐”家族木馬病毒變種。

什么是?“銀狐”木馬病毒？

?銀狐又名 “游蛇”、“谷墮大盜”，是一款專門針對政府、高校及企事業(yè)單位等關鍵行業(yè)等從業(yè)人員進行攻擊的木馬病毒變種之一。銀狐木馬能夠獲取受害者的計算機控制權限并長期駐留，通過遠程控制受害者的計算機，竊取用戶敏感信息，并通過監(jiān)控受害者的日常操作，達到竊取隱私的目的，為后續(xù)實施詐騙等行為鋪路。

銀狐木馬攻擊過程：利用誘導內容，遠控木馬實施釣魚攻擊

01傳播階段：銀狐木馬通常利用微信、電子郵件、釣魚網(wǎng)頁等渠道進行傳播。利用緊迫感誘導用戶立即執(zhí)行惡意程序。傳播給受害者。

02誘導執(zhí)行階段：用戶一旦點擊下載并解壓這些偽裝成正常工作文件的壓縮包，運行其中的惡意可執(zhí)行文件或腳本，木馬便開始在終端靜默執(zhí)行，建立與攻擊者惡意C&C服務器的連接通道。

03持久駐留與惡意操作階段:木馬成功植入后，通過“白+黑”（白文件+黑dll）的攻擊手法規(guī)避常規(guī)殺毒軟件的監(jiān)測，長期潛伏和竊取信息

銀狐木馬的防御難點：“毒如其名”，善于偽裝

自2022年開始活躍以，銀狐已迭代多個版本，持續(xù)增強免殺對抗與持久化駐留能力。最新變種在攻擊手段上更為狡猾和復雜，它充分利用人性弱點，偽裝吸引用戶點擊下載到PC上，并通過多階段內存加載、白加黑劫持、驅動級對抗等先進技術手段，巧妙地規(guī)避殺軟檢測。

1、指數(shù)級增長的變種數(shù)量，銀狐特征捕捉難度大

銀狐木馬通過模塊化設計和自動化工具批量生成變種，僅2024-2025年間就衍生出“游蛇”“谷墮大盜”等數(shù)十種變體，加載器技術迭代周期縮短至數(shù)周，指數(shù)級增長的變種數(shù)量，使得銀狐特征難以捕捉，檢測難。

2、多階段加載與內存駐留技術，規(guī)避靜態(tài)掃描

銀狐通常通過壓縮包（如ZIP、RAR）分發(fā)，解壓后釋放看似正常的lnk, vbs或msi文件。這些文件非PE文件,腳本通常混淆加密,可以在第一時間先規(guī)避AV查殺。

3、白加黑與高級注入技術，偽裝正常軟件悄然潛入，致盲安全軟件

1）合法簽名程序劫持，導致放行惡意行為

銀狐利用帶有合法數(shù)字簽名的文件程序（如Avira, usbmon, iobit）作為掩護，安全軟件因信任合法簽名，可能放行惡意行為。

2）斷鏈注入，規(guī)避檢測

銀狐通過APC注入、反射DLL注入、進程挖空等方式將代碼注入合法進程（如瀏覽器、辦公軟件），切斷進程父子關系，規(guī)避基于進程鏈的檢測。

3）致盲安全軟件

銀狐會試圖摘除安全軟件的監(jiān)控功能，或者致盲系統(tǒng)ETW（Event Tracing for Windows，內置事件跟蹤機制），讓安全軟件即使在正常執(zhí)行的過程中也無法感知木馬的動作。

4、多樣化C2通信與隱蔽通道，對抗流量檢測

銀狐將命令與控制服務器（C2）信息隱藏在合法網(wǎng)站（如GitHub頁面、云存儲鏈接）中，木馬定期訪問這些站點獲取指令。流量混雜于正常訪問。同時通信數(shù)據(jù)使用AES加密或自定義算法加密，并偽裝成HTTPS、DNS等合法協(xié)議流量，難以被流量識別攔截。

華為HiSec Endpoint關鍵方案和競爭力:
矩陣式防御體系直擊 “銀狐” 要害

華為HiSec Endpoint構建了一套全方位、多層次的矩陣式防御體系，為用戶的終端安全保駕護航。

防御層一:AI釣魚檢測，精準識別未知釣魚木馬。

基于機器學習和自然語言處理技術，分析學習海量惡意/良性樣本，建立釣魚特征和行為基線，能夠精準識別未知釣魚URL和“簡歷、發(fā)票、報稅”類釣魚木馬樣本。

防御層二:第三代靜態(tài)檢測引擎CDE，檢測率業(yè)界領先。

采用MDL（Malware Detection Language，惡意軟件檢測語言）專有病毒語言，以少量資源精準覆蓋海量變種；集成專有在線神經(jīng)網(wǎng)絡等高精度AI算法，賽可達測試靜態(tài)檢出率達99.39%。

防御層三:混淆腳本檢測，查殺非PE惡意文件。

針對銀狐木馬采用壓縮包釋放的非PE惡意文件，逃避AV查殺。Hisec Endpoint支持腳本內容動態(tài)解密還原腳本真實攻擊意圖，基于頻繁模式挖掘算法形成惡意腳本特征集，提升無文件命令行和加密腳本行為檢測率。

防御層四:高級躲避檢測，精準識別避檢測行為。

針對銀狐木馬利用白加黑或高級注入方式利用系統(tǒng)白進程做后門通訊，逃避檢測。Hisec Endpoint基于端云協(xié)同的創(chuàng)新溯源圖，支持進程注入、注冊表劫持、白文件捆綁等多種逃避檢測技術及白程序濫用技術，精準識別銀狐躲避檢測行為。

防御層五:Shellcode檢測，攔截外部通信。

HiSec Endpoint產(chǎn)品在可疑內存事件上打點,比如內存分配，權限更改，內存執(zhí)行, 準確識別Shellcode指令，配合內存陷阱技術抓取銀狐木馬的控制服務器地址，攔截外部服務器通信。

防御層六:快速內存掃描，精準識別Gh0st木馬變種。

實時識別出白加黑木馬的可疑內存區(qū)塊，對內存區(qū)域使用高速相似度掃描算法以精確識別銀狐的各種Gh0st木馬變種。

防御層七:端網(wǎng)聯(lián)動檢測惡意/異常連接。

HiSec Endpoint支持與防火墻聯(lián)動。防火墻檢測出銀狐訪問惡意域名后，發(fā)送告警事件到云端乾坤，乾坤基于聚合和關聯(lián)生成威脅事件，定位失陷主機，借助安全響應編排能力，調用該失陷主機EDR接口，結束銀狐進程，隔離惡意文件。

此外，HiSec Endpoint同時可聯(lián)動乾坤綜合關聯(lián)溯源，自動還原攻擊意圖與鏈條，檢測多主機橫向移動及高級持續(xù)隱蔽攻擊。在iMaster NCE-Campus 集成部署模式下，能實現(xiàn)身份化認證，動態(tài)調整用戶準入與訪問權限，保障企業(yè)資產(chǎn)安全。

成功防御案例：幫助省交通行業(yè)客戶成功檢測“銀狐病毒”

近日，某省單位雖部署終端安全軟件，內網(wǎng)主機仍遭釣魚攻擊感染 “銀狐病毒”，對業(yè)務造成嚴重影響。現(xiàn)網(wǎng)部署華為HiSec Endpoint后，發(fā)現(xiàn)該病毒將惡意代碼注入VSSVC 和svchost進程，執(zhí)行后遭黑客遠程控制。HiSec Endpoint 識別Shellcode指令，結合內存陷阱技術抓取控制服務器地址，成功攔截外部通信，精準斬斷遠程控制，助力客戶守護企業(yè)數(shù)據(jù)資產(chǎn)。