index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
近期,360数字安全集团发现银狐木马出现新变种,该变种利用一款名为“桌面与终端统一管理系统”的合法企业管理软件作为攻击跳板。此举使得木马攻击更加隐蔽,能够窃取敏感信息并作为后续攻击的平台。银狐木马长期以来都善于伪装和利用合法工具,此次通过将恶意行为隐藏在正常的系统管理流量中,大大增强了其攻击的隐蔽性和危害性。360终端安全智能体通过专项防护和全周期防御矩阵,为政企机构构建了强大的防御体系,能够有效拦截、监测并清理此类新型攻击。
🪖 **新型攻击载体:** 银狐木马最新变种开始利用Zoho集团开发的“桌面与终端统一管理系统”作为新的攻击载体,将恶意行为隐藏在合法的远程管理软件流量中,显著提升了攻击的隐蔽性,能够执行下发指令和操作等行为。
🎣 **精巧的诱导方式:** 攻击者通过高仿真的钓鱼页面,以“税务稽查通知”、“企业福利补贴”等名义诱骗政企财务人员点击链接,下载加密压缩包。解压后,利用“安装须知.txt”诱导用户手动关闭安全软件,为木马的植入和运行创造条件。
⚙️ **利用合法工具进行渗透:** 木马运行后会尝试提权,并调用系统自带工具下载下一阶段载荷,最终静默安装并篡改“UEMSAgent”远控软件的配置文件,预设恶意C2服务器地址,实现对受控主机的控制,这是银狐木马滥用合法IT管理工具的典型手法。
🛡️ **360终端安全智能体的防护能力:** 360终端安全智能体通过对近2000款易被滥用的合法驱动进行专项防护,并结合智能化的场景分析,动态判断行为意图,精准阻断高风险操作。其构建的全周期防御矩阵,覆盖传播拦截、行为监测和深度清理,能有效应对木马传播的各个阶段,包括对抗新型攻击方式。
🧹 **全方位的处置与修复:** 360的云安全立体防护体系具备强大的应急响应能力,如远控·勒索急救模式可一键切断攻击者控制通道,为清理争取时间。该体系支持驱动级木马清理、系统配置修复,以及对被利用的合法管理软件的智能检测与卸载,目前已支持数十款被滥用的合法软件的全面检测与清理。
2025-11-12 18:21 北京
360揭露银狐木马新变种完整攻击链条,合法管理软件成新跳板
近年来,银狐木马在国内持续肆虐,通过伪装成“税务稽查通知”“企业福利补贴”等文件,借助微信群、钓鱼邮件、社交媒体及SEO引流等多渠道传播,精准攻击政府、金融、医疗及制造业的管理与财务人员。其凭借高度的隐蔽性与复杂性对广大政企机构安全构成严重威胁,堪称潜伏在数字防线中的“隐形炸弹”。近日,360数字安全集团监测发现银狐木马最新更新动向:其开始利用一款由印度Zoho集团开发的企业级远程管理类软件“桌面与终端统一管理系统”作为新载体,可对政企机构内受控主机下发指令,并执行操作。银狐木马家族长期存在滥用合法IT管理工具的攻击惯例,此次通过将恶意行为隐藏于正常系统管理流量中,既可窃取敏感资料,又能作为后续攻击跳板,形成“合法外衣下的隐蔽攻击链”,危害等级显著提升。 银狐木马新变种来袭滥用合法软件实施“无声渗透”银狐木马新变种在初始投递时,常通过构建高仿真钓鱼页面,以财税合规申报、税务补贴通知等名义为诱饵,诱导政企财务人员点击访问。
典型钓鱼页面一旦有用户访问钓鱼网站后不慎上当,点击钓鱼链接后,通常下载的是一个加密压缩包,文件命名如“sw码12366】.rar”以增强迷惑性。解压后,攻击者通过在“安装须知.txt”中植入指导步骤,诱导用户手动退出360等安全软件,旨在降低系统防御,为木马的持久化驻留与执行铺平道路。
加密压缩包中的文件列表样本在运行后,首先会尝试提权获取管理员权限,随后调用系统集成的curl、bitsadmin或certutil等工具,下载下一阶段载荷。完成载荷下载后,脚本将对名为“UEMSAgent”的远控软件执行静默安装,并修改其配置文件。如下图所示,被篡改的DCAgentServerInfo.json中已预设位于中国香港的C2服务器地址:103.115.56.103:8383。
被修改后的配置文件据该公司官网介绍,该软件具备典型的远控功能,如远程文件传输、多显示器支持、会话录制等。值得注意的是,本次攻击并未采用高技术手段或定制木马,而是直接利用合法的管理软件实施控制,已成为银狐木马的典型手法。有时,该组织甚至同时部署多款此类软件,以增强控制。
360终端安全智能体赋能筑牢银狐木马免疫防线作为国内唯一兼具数字安全和人工智能双重能力的企业,360结合过去20年积累的强大的样本数据和情报能力及终端安全上1200余项能力点,利用360安全大模型、安全智能体能力重塑终端安全,将杀毒、主动防御、EDR、桌管、准入、DLP、安全桌面等40多项能力模块进行升级,推出国内首个实战应用的终端安全智能体。
为应对此轮银狐木马新变种的攻击,360终端安全智能体对近2000款易被滥用的合法驱动增加了专项防护。由于这些驱动本身并非恶意文件,360终端安全智能体会进行智能化的场景分析,动态判断其行为意图,并对高风险操作进行精准阻断,实现有效防护。此外,360依托终端安全智能体赋能的云安全立体防护体系,还构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段,该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖,可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测,在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段,比如遭遇掺杂大量干扰文件的多文件攻击,抑或是面对超大文件规避检测的传统伎俩,以及针对加密压缩包和“配置型白利用”等新型攻击方式,该体系皆可依托终端安全智能体赋能的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,从而实现自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并持续监测其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等,360主动防御对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
在终端处置环节,360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道,为深度清理争取宝贵时间窗口。此外,该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复,也支持对被银狐木马利用的合法管理软件的智能检测与卸载。据360终端安全智能体监测,近两年被滥用于攻击的合法软件已达数十款,常见包括IPGUARD、阳途、固信、安在等,360终端安全智能体已支持对此类软件的全面检测与一键清理。
目前,360云安全立体防护体系已经实现对银狐木马病毒的全面查杀,建议广大政企机构尽快部署。想要了解更多详情欢迎拨打咨询电话400-0309-360往期推荐
| 01 | ● 周鸿祎谈贯彻落实党的二十届四中全会精神
► 点击阅读
| 02 | ● 360斩获IDC报告三类“大满贯”,引领智能安全新范式
► 点击阅读
| 03 | ●获香港特区政府致谢!360为构建“粤港澳大湾区网络安全共同体”贡献力量
► 点击阅读
| 04 | ● 360“纳米AI校园行”走进河南,多维度培育智能体人才
► 点击阅读
阅读原文
跳转微信打开
