2025-11-12 18:21 北京
360揭露银狐木马新变种完整攻击链条,合法管理软件成新跳板
近年来,银狐木马在国内持续肆虐,通过伪装成“税务稽查通知”“企业福利补贴”等文件,借助微信群、钓鱼邮件、社交媒体及SEO引流等多渠道传播,精准攻击政府、金融、医疗及制造业的管理与财务人员。其凭借高度的隐蔽性与复杂性对广大政企机构安全构成严重威胁,堪称潜伏在数字防线中的“隐形炸弹”。
近日,360数字安全集团监测发现银狐木马最新更新动向:其开始利用一款由印度Zoho集团开发的企业级远程管理类软件“桌面与终端统一管理系统”作为新载体,可对政企机构内受控主机下发指令,并执行操作。
银狐木马家族长期存在滥用合法IT管理工具的攻击惯例,此次通过将恶意行为隐藏于正常系统管理流量中,既可窃取敏感资料,又能作为后续攻击跳板,形成“合法外衣下的隐蔽攻击链”,危害等级显著提升。
银狐木马新变种来袭
滥用合法软件实施“无声渗透”
银狐木马新变种在初始投递时,常通过构建高仿真钓鱼页面,以财税合规申报、税务补贴通知等名义为诱饵,诱导政企财务人员点击访问。
典型钓鱼页面
一旦有用户访问钓鱼网站后不慎上当,点击钓鱼链接后,通常下载的是一个加密压缩包,文件命名如“sw码12366】.rar”以增强迷惑性。解压后,攻击者通过在“安装须知.txt”中植入指导步骤,诱导用户手动退出360等安全软件,旨在降低系统防御,为木马的持久化驻留与执行铺平道路。
加密压缩包中的文件列表
样本在运行后,首先会尝试提权获取管理员权限,随后调用系统集成的curl、bitsadmin或certutil等工具,下载下一阶段载荷。完成载荷下载后,脚本将对名为“UEMSAgent”的远控软件执行静默安装,并修改其配置文件。如下图所示,被篡改的DCAgentServerInfo.json中已预设位于中国香港的C2服务器地址:103.115.56.103:8383。
被修改后的配置文件
据该公司官网介绍,该软件具备典型的远控功能,如远程文件传输、多显示器支持、会话录制等。值得注意的是,本次攻击并未采用高技术手段或定制木马,而是直接利用合法的管理软件实施控制,已成为银狐木马的典型手法。有时,该组织甚至同时部署多款此类软件,以增强控制。
360终端安全智能体赋能
筑牢银狐木马免疫防线
作为国内唯一兼具数字安全和人工智能双重能力的企业,360结合过去20年积累的强大的样本数据和情报能力及终端安全上1200余项能力点,利用360安全大模型、安全智能体能力重塑终端安全,将杀毒、主动防御、EDR、桌管、准入、DLP、安全桌面等40多项能力模块进行升级,推出国内首个实战应用的终端安全智能体。
为应对此轮银狐木马新变种的攻击,360终端安全智能体对近2000款易被滥用的合法驱动增加了专项防护。由于这些驱动本身并非恶意文件,360终端安全智能体会进行智能化的场景分析,动态判断其行为意图,并对高风险操作进行精准阻断,实现有效防护。
此外,360依托终端安全智能体赋能的云安全立体防护体系,还构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段,该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖,可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测,在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段,比如遭遇掺杂大量干扰文件的多文件攻击,抑或是面对超大文件规避检测的传统伎俩,以及针对加密压缩包和“配置型白利用”等新型攻击方式,该体系皆可依托终端安全智能体赋能的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,从而实现自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并持续监测其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等,360主动防御对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
在终端处置环节,360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道,为深度清理争取宝贵时间窗口。此外,该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复,也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
据360终端安全智能体监测,近两年被滥用于攻击的合法软件已达数十款,常见包括IPGUARD、阳途、固信、安在等,360终端安全智能体已支持对此类软件的全面检测与一键清理。
目前,360云安全立体防护体系已经实现对银狐木马病毒的全面查杀,建议广大政企机构尽快部署。
想要了解更多详情
欢迎拨打咨询电话
400-0309-360
往期推荐
