近年來，一款名為“銀狐木馬”(又稱“游蛇”)的惡意程序在國內(nèi)及亞太地區(qū)悄然肆虐，其攻擊目標(biāo)精準(zhǔn)鎖定政府機(jī)構(gòu)、金融、醫(yī)療及制造業(yè)的高價(jià)值崗位人員(如財(cái)會(huì)、高管等)，以狡猾的偽裝手段和復(fù)雜的技術(shù)鏈條，成為企業(yè)安全防御體系中的“隱形炸彈”。

據(jù)悉，這是一種具有高度隱蔽性和復(fù)雜功能的惡意軟件，“毒如其名”，善于偽裝，就像一只狡猾的狐貍，潛伏在財(cái)稅/政務(wù)領(lǐng)域，常常偽裝成“財(cái)會(huì)發(fā)票”“稅務(wù)稽查通知”“企業(yè)福利補(bǔ)貼名單”等文件，以迷惑用戶點(diǎn)擊。其傳播渠道廣泛，包括微信群、釣魚郵件、各類社交媒體等，還利用搜索引擎競價(jià)排名、SEO引流等手段誘導(dǎo)用戶下載，使用戶防不勝防。

“狡詐銀狐”持續(xù)進(jìn)化入侵手段層出不窮

自2019年首次曝光以來，銀狐已迭代多個(gè)版本，持續(xù)增強(qiáng)免殺對(duì)抗與持久化駐留能力。最新變種在攻擊手段上更為狡猾和復(fù)雜，它充分利用人性弱點(diǎn)，偽裝吸引用戶點(diǎn)擊下載到 PC 上，并通過多階段內(nèi)存加載、白加黑劫持、驅(qū)動(dòng)級(jí)對(duì)抗等先進(jìn)技術(shù)手段，巧妙地規(guī)避殺軟檢測，形成了“傳播-駐留-竊密”的全鏈路攻擊閉環(huán)。一旦獲得終端權(quán)限，銀狐或潛伏監(jiān)視，長期收集用戶數(shù)據(jù)，或直接操控受害機(jī)器拉群傳播木馬和實(shí)施二維碼詐騙，直接威脅企業(yè)核心資產(chǎn)與個(gè)人隱私安全，堪稱企業(yè)安全的“隱形炸彈”。

當(dāng)前，銀狐入侵手段層出不窮，最新版本通過四大手段突破傳統(tǒng)防御：

一是偽造官方機(jī)構(gòu)通知，借時(shí)事熱點(diǎn)釣魚。銀狐團(tuán)伙擅長結(jié)合政策節(jié)點(diǎn)偽造“稅務(wù)局”“財(cái)政部”等官方文件，例如在稅務(wù)稽查高峰期，通過郵件、短信發(fā)送釣魚鏈接，頁面仿真度極高，誘導(dǎo)受害者點(diǎn)擊后自動(dòng)下載木馬程序。

假冒稅務(wù)局通知

二是社交平臺(tái)廣撒網(wǎng)，釣魚文件秒變“病毒快遞”。通過社交渠道發(fā)送釣魚文件和二維碼，直接在微信群、QQ群等群組中傳播虛假鏈接，迅速擴(kuò)大感染范圍。2025年上半年，已有多家企業(yè)員工受害，銀狐團(tuán)伙通過工作群傳播詐騙信息，進(jìn)而盜取員工財(cái)產(chǎn)。

釣魚二維碼/微信群轉(zhuǎn)發(fā)

三是高仿辦公軟件下載頁，精準(zhǔn)捕捉職場需求。銀狐團(tuán)伙還深諳國內(nèi)辦公習(xí)慣，復(fù)刻官網(wǎng)構(gòu)造各類軟件下載仿冒頁面，如緊跟時(shí)事仿冒DeepSeek本地部署等常見辦公軟件，未仔細(xì)分辨的用戶極易不慎下載木馬。

緊跟時(shí)事，仿冒DeepSeek本地部署

各種仿冒辦公軟件

四是云存儲(chǔ)平臺(tái)隱身術(shù)，令溯源追蹤難上加難。為規(guī)避安全監(jiān)測，銀狐將惡意程序偽裝成“行業(yè)報(bào)告”“設(shè)計(jì)素材”“學(xué)習(xí)資源”等文件，托管至知名網(wǎng)盤或云服務(wù)商的對(duì)象存儲(chǔ)服務(wù)(OSS，Object Storage Service)。由于云平臺(tái)IP動(dòng)態(tài)分配且資源鏈接分散，安全團(tuán)隊(duì)難以通過傳統(tǒng)IP封禁或域名攔截手段溯源，形成“下載即中毒，中毒難追責(zé)”的攻擊閉環(huán)。

網(wǎng)盤中掛載的銀狐

騰訊iOAEDR實(shí)戰(zhàn)助力企業(yè)“精準(zhǔn)獵狐”

第一幕：偽裝正常軟件悄然潛入

近期，騰訊iOA團(tuán)隊(duì)就幫助某游戲開發(fā)公司成功定位并阻斷銀狐攻擊。公司內(nèi)部人員在網(wǎng)絡(luò)上下載了某軟件安裝包，當(dāng)用戶點(diǎn)擊安裝時(shí)，騰訊iOA EDR的內(nèi)核探針?biāo)查g捕獲異常行為：未簽名的lets-3.12.3.exe正釋放可疑的msi安裝包，此處就已觸發(fā)了EDR告警，可以清晰地看到，EDR界面詳細(xì)地展示了攻擊詳情，包括進(jìn)程命令行、文件名、文件路徑等信息。

具體來說，銀狐木馬偽裝入侵，在初始階段即被iOA及時(shí)發(fā)現(xiàn)。首先，安裝包簽名過期。EDR的文件信譽(yù)系統(tǒng)采集到該安裝包無有效簽名，同時(shí)關(guān)聯(lián)圖引擎追溯到文件源于Edge瀏覽器的異常下載，形成“瀏覽器-惡意文件-釋放行為”的初始攻擊鏈證據(jù)。其次，檢測到連鎖惡意操作?？梢砂惭b包在執(zhí)行時(shí)觸發(fā)了連鎖惡意動(dòng)作——msiexec.exe應(yīng)用調(diào)用cmd.exe啟動(dòng)了hotdog.exe，該程序正是被銀狐改造的黑客工具Nidhogg，該工具正嘗試通過“進(jìn)程保護(hù)”繞過常規(guī)殺毒軟件檢測，iOA及時(shí)發(fā)現(xiàn)并幫助用戶快速處置。

安裝包簽名過期

連鎖惡意操作

第二幕：內(nèi)核級(jí)探針捕獲異常行為鏈

與此同時(shí)，銀狐木馬在入侵電腦的C:\Program Files (x86)\Windows NT目錄下植入tprotect.dll驅(qū)動(dòng)，并創(chuàng)建自啟動(dòng)服務(wù)“CleverSoar”，準(zhǔn)備為下一步非法外聯(lián)做準(zhǔn)備，誰料一系列的動(dòng)作都被iOA納于眼底，立刻觸發(fā)了一條EDR告警。

接下來，EDR持續(xù)發(fā)威，異常行為被持續(xù)關(guān)聯(lián)，溯源鐵證逐步浮現(xiàn)。msiexec → cmd → hotdog的異常情況被完整記錄，命令行參數(shù)顯示正執(zhí)行“process add 6772”等攻擊指令;同時(shí)，銀狐木馬寫入注冊(cè)表的隱藏計(jì)劃任務(wù)被EDR及時(shí)發(fā)現(xiàn)并實(shí)時(shí)攔截，盡管銀狐木馬注冊(cè)表項(xiàng)描述偽裝為“Microsoft”，但路徑與時(shí)間戳仍然暴露了其惡意屬性，進(jìn)一步坐實(shí)了攻擊證據(jù)。

進(jìn)程調(diào)用鏈條全鏈路展示

持久化證據(jù)確鑿

第三幕：多維度檢測阻斷攻擊閉環(huán)

同一時(shí)間，銀狐木馬所關(guān)聯(lián)的runtime.exe進(jìn)程嘗試連接域名8004.twilight.zip，一旦外聯(lián)成功，PC將被黑客遠(yuǎn)程控制，千鈞一發(fā)之際，EDR通過騰訊威脅情報(bào)庫精準(zhǔn)識(shí)別，確認(rèn)外聯(lián)端為銀狐C2控制端，并及時(shí)在控制臺(tái)產(chǎn)生對(duì)應(yīng)告警信息。

EDR防御矩陣同步啟動(dòng)：

終端行為阻斷：iOA成功攔截了MSI文件的釋放，終止了惡意進(jìn)程hotdog.exe，并將其隔離至沙箱。同時(shí)，通過識(shí)別tprotect.dll驅(qū)動(dòng)的簽名時(shí)間與系統(tǒng)環(huán)境的沖突，并借助iOA圖引擎追溯到文件源頭，形成了完整的初始攻擊鏈證據(jù)。

持久化清除：安全研判介入后，迅速下發(fā)終端響應(yīng)任務(wù)，刪除了注冊(cè)表Tree路徑下的隱藏任務(wù)項(xiàng)，并修復(fù)了被篡改的計(jì)劃任務(wù)配置。此外，還停止了CleverSoar服務(wù)并清除了驅(qū)動(dòng)文件，有效阻斷了內(nèi)核級(jí)駐留。

外聯(lián)行為阻斷：EDR基于威脅情報(bào)實(shí)時(shí)阻斷了C2域名解析，禁止可疑進(jìn)程聯(lián)網(wǎng)，并生成了詳細(xì)的網(wǎng)絡(luò)訪問日志，記錄了惡意IP的通訊企圖。

通過以上自動(dòng)化手段，iOA構(gòu)建起一整套智能防御體系，并在本次實(shí)戰(zhàn)攻防演練中成功抵御銀狐木馬的高強(qiáng)度攻擊，充分展現(xiàn)了“主動(dòng)防御+智能響應(yīng)”的創(chuàng)新安全防護(hù)理念。

全鏈路可見性：完整記錄從釣魚文件下載到C2通信的全流程事件，通過溯源圖直觀呈現(xiàn)攻擊鏈各環(huán)節(jié)，為安全復(fù)盤提供堅(jiān)實(shí)證據(jù)。

多層級(jí)對(duì)抗能力：內(nèi)核級(jí)探針+行為分析+威脅情報(bào)，形成立體防御體系，有效應(yīng)對(duì)銀狐木馬如“多階段內(nèi)存加載 + 驅(qū)動(dòng)級(jí)對(duì)抗”等高級(jí)攻擊手段。

自動(dòng)化響應(yīng)效率：騰訊iOA EDR通過預(yù)設(shè)響應(yīng)策略，實(shí)現(xiàn)“秒級(jí)檢測+分鐘級(jí)處置”，顯著降低安全團(tuán)隊(duì)的應(yīng)急響應(yīng)壓力。

攻防對(duì)抗持久戰(zhàn)未歇

網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗，這是一場永不停歇的持久戰(zhàn)，需要行業(yè)各方協(xié)同應(yīng)對(duì)。針對(duì)當(dāng)前銀狐木馬的日益猖獗，騰訊iOA團(tuán)隊(duì)聯(lián)合科恩實(shí)驗(yàn)室特別提醒：

提高警惕，謹(jǐn)防釣魚攻擊：切勿隨意打開來歷不明的鏈接、點(diǎn)擊接收未知來源的郵件附件或下載安裝非可信渠道的應(yīng)用，對(duì)微信群、QQ 群等社交媒體傳播的非官方通知和程序保持高度警惕;

謹(jǐn)慎處理敏感信息：涉及個(gè)人敏感信息輸入(如銀行卡號(hào)、手機(jī)驗(yàn)證碼等)或錢財(cái)轉(zhuǎn)賬時(shí)，務(wù)必謹(jǐn)慎核對(duì)信息來源與用途，確保操作安全合法;

及時(shí)部署安全軟件：建議部署企業(yè)級(jí)終端安全軟件，開啟釣魚防護(hù)和實(shí)時(shí)監(jiān)控功能，并保持系統(tǒng)與安全軟件版本及時(shí)更新，以具備最新防護(hù)能力。

同時(shí)，騰訊iOA為不同規(guī)模的用戶提供了兩套銀狐木馬防護(hù)解決方案：

針對(duì)500點(diǎn)以下的中小企業(yè)用戶，騰訊iOA基礎(chǔ)版免費(fèi)開放，提供完整的病毒查殺、釣魚防護(hù)、終端加固等安全能力，滿足中小企業(yè)的終端安全防護(hù)需求。

針對(duì)500點(diǎn)以上的中大型企業(yè)，騰訊iOA也可以提供免費(fèi)試用，在基礎(chǔ)安全防護(hù)能力之上，還額外提供終端檢測與響應(yīng)EDR模塊，配套騰訊安全專家在線研判服務(wù)，讓各類高級(jí)安全威脅無所遁形!

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）