国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种 ——“银狐”（又名“游蛇”、“谷堕大盗”）。攻击者虚构财务、税务等主题的钓鱼网页，通过微信群传播病毒下载链接。企事业单位管理人员、财务人员、各高校在校师生、销售人员及电商卖家更是重点关照“对象”。

自2023年初以来，银狐木马持续猖獗，广泛在金融、教育、电商等多个行业留下罪证，一旦得手，银狐就能操控木马监控受害者日常操作，并窃取企业财务、管理等机密信息，造成政企机构的重大损失。

文件特征：

文件名：犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称。

文件格式：目前已知的该木马病毒常用文件格式以 MSI 安装包格式和 ZIP、RAR 等压缩包格式为主。

文件 HASH：

cf8088b59ee684cbd7d43edcc42b2eec

f3cad147e35f236772b5e10f4292ba6e

一、百变“毒王”猖獗作恶，传播手段千变万化

银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播。它通常利用具有诱导性的文件名，如“成绩单”、“转账通知单”等，在QQ、微信等即时通信软件发送钓鱼文件或网站链接，诱导受害者点击。

图1 钓鱼信息及链接1

图2 钓鱼信息及链接2

此外，其还擅长使用白利用、内存loader等技术手段，实现多阶段投递，并使用云笔记存储payload数据，这导致了其能够迅速传播和潜伏在系统中，具备高度隐蔽性和复杂的功能。为能够高效传播扩散，银狐木马的伎俩千变万化，以下为几大典型的投毒场景：

1、巧借搜索引擎SEO诱骗

借用搜索引擎SEO推广是银狐木马的惯用伎俩之一，其将流量吸引至自行构建的虚假站点，再通过虚假站点的误导性内容进行钓鱼传播。

一旦有用户陷入误导，便会跟随虚假指引下载木马安装包，主动安装木马。这类投放方式面向的是普通大众，而虚假站点通常也是直接仿冒各类知名大站，普通用户往往难辨真伪。

图3 某搜索引擎中搜索到的虚假钓鱼站点

图4 虚假钓鱼站点页面

2、仿冒工具软件投毒

银狐木马通常也会仿冒为Telegram、v2ray、XShell、MobaXterm等各类热门的工具软件，一旦点击下载通常会指引至钓鱼站点，或是给钓鱼站点引流的帖子、教程等，里面会掺杂多个木马家族。此类传播方式主要面向的是IT管理人员、外贸从业人员或涉及灰黑产的人士等，一般隐秘程度较高。

图5 伪装为SecureCRT的银狐木马下载页面

3、钓鱼页面定向投放

在钓鱼页面传播，攻击者则更倾向于针对企业职员进行定向投递。税务稽查类钓鱼页面通常是此类钓鱼攻击实施中的核心一环。攻击者一般通过聊天软件、邮件、短信等方式发送欺诈链接给用户，诱骗用户打开，进而下载木马。

图6 带有木马安装包的钓鱼页面

4、网盘/OSS挂载木马包

很多银狐木马在对抗过程中改用了网盘或云服务商提供的Object Storage Service (OSS)来挂载木马。这样也让防护人员很难根据站点IP或域名进行封禁或者溯源，而在木马下载链条中，只能对单个下载页面进行相对精准的定位和封禁。

图7 网盘文件中的恶意木马

5、微信传播

微信作为目前国内最主流的通讯方式也必然成为了攻击者实施其钓鱼攻击而必然选择的传播渠道，而根据账号类型通常又会分为两类传播方式：一类是仿冒其他人微信号，加群或者加个人发起钓鱼攻击。另一类则是利用已经中招电脑上登录着的微信，控制其账号向好友和群内发起钓鱼攻击。

二、花式招数对抗安全软件，机关算尽只为长期驻留

在完成钓鱼传播后，木马还要对抗安全软件，实现长期驻留控制用户电脑。主要对抗方式有：

1、利用RPC管道远程创建计划任务与服务

服务和计划任务是木马攻击中非常常见的驻留手段，银狐木马通过构造RPC数据包和构造RpcStringBindingComposeW函数调用两种方法，针对传统RPC管道方式创建计划任务进行了改进，有效规避了常规杀毒软件、EDR产品的监测。

2、SecLogon伪造父进程

利用SecLogon滥用方法，银狐木马可以实现伪造父进程，构造一个错误的进程链，迷惑安全软件，从而绕过安全软件的拦截。

3、发送消息尝试结束安全软件

银狐木马在进入机器后，可能也会遍历窗口，查找安全软件，并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。

4、模拟点击安全软件拦截弹窗

银狐木马在运行生命周期中会创建一个辅助线程，用于循环查找安全软件的拦截弹窗。一旦出现安全软件拦截弹窗，便模拟用户操作来点击“允许”按钮，从而规避拦截。

5、PoolParty注入技术

银狐木马也会利用PoolParty注入技术代替常规的代码注入方法，将代码注入到系统进程中执行，规避安全软件拦截。

此外，木马还会利用一些安全软件、系统维护工具的驱动，以及软件兼容性策略等来逃避安全软件的查杀拦截，欺骗手段让人防不胜防。

三、躲避杀毒软件扫描查杀，想法设法延长存活时间

对于一般病毒木马来说，用户即便中招，也可以通过杀毒清理或杀毒软件的主动扫描、推送扫描机制，将其快速灭活，所以在完成防御对抗后，木马还要想方设法的延长其存活时间。

常见的木马驻留方式，主要是Run自启动项、服务项目、计划任务等。这些方式银狐木马中也都有体现，但银狐木马对其进行了一些“创新”。

1、利用系统程序，加参数脚本实现启动

利用系统中程序实现特定功能，这在木马攻击中非常普遍，银狐木马会选择一些较少被使用到的程序实现该方法。比如，木马连环利用FTP静默执行特定脚本的方式，就可以实现在没有常规木马文件落地的情况下实现驻留。

2、利用企业管控软件、安全软件实现长期驻留

企业管理管控软件属于正规软件，一般不会被安全软件检出和清理。同时这类软件本身具有防卸载、防关闭的能力。银狐木马驻留后不久，就会迅速向用户电脑安装这类软件，实现长期控制。

目前，银狐类木马主要还是集中于“信息窃取”，利用其掌控的电脑，收集用户的个人信息以及企业信息，伺机发起诈骗。因此，银狐木马特别偏爱企业职工——尤其是企业财务人员。

其窃取的主要信息包括：微信密钥与聊天记录、企业财税文件、企业工资单等企业财务相关内容。另外木马还会实时检测用户对电脑的操作过程，掌握用户的身份与操作习惯等。

除了用于诈骗外，窃取虚拟货币，以及利用被控制的“肉鸡”实施挖矿，进行DDoS攻击也在部分银狐木马的“菜单”中。

四、防范措施

1、不要轻信微信群、QQ 群或其他社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知，应通过官方渠道进行核实。

2、不要从微信群、QQ 群或其他社交媒体软件的聊天群组中传播的网络链接（或二维码）下载所谓的官方程序。

3、一旦发现社交媒体软件被盗，应告知相关情况，并修改登录密码，并对设备进行杀毒和安全检查。

4、对安全性未知的可疑文件，可访问国家计算机病毒协同分析平台进行提交检测。

来源：启疆科技数据治理公众号