綜述:“銀狐”病毒嚴(yán)重威脅企事業(yè)單位信息安全,銳捷網(wǎng)絡(luò)與安全深度融合,推出網(wǎng)安融合解決方案����。其安全產(chǎn)品(含Z系列防火墻、EG-E系列網(wǎng)關(guān)等)憑借本地多源情報(bào)庫(kù)����、天幕實(shí)驗(yàn)室創(chuàng)新推出的20000條IPS規(guī)則庫(kù),構(gòu)建全閉環(huán)防護(hù)抵御銀狐病毒�����。
“銀狐”木馬病毒(又稱“游蛇”或“谷墮大盜”)最早于2020年左右出現(xiàn),但近兩年活躍度顯著攀升,已成為當(dāng)前最“卷”的病毒之一����。該木馬在不到一年內(nèi)快速迭代多個(gè)版本,持續(xù)升級(jí)攻擊手法�、組件部署方式及樣本投遞手段,并采用“白加黑”(利用合法軟件加載惡意DLL)、加密Payload�����、內(nèi)存加載等免殺技術(shù)對(duì)抗安全軟件檢測(cè),使其更難被查殺,這也是其再度“翻紅”的關(guān)鍵原因�。
“銀狐”主要針對(duì)企事業(yè)單位的管理和財(cái)務(wù)人員,通過(guò)微信、QQ���、釣魚郵件及偽造網(wǎng)站等渠道實(shí)施攻擊,尤其瞄準(zhǔn)政府���、高校及企業(yè)的財(cái)務(wù)部門。其利用進(jìn)程注入�、無(wú)文件攻擊、簽名偽造等高隱蔽性技術(shù)繞過(guò)防護(hù),遠(yuǎn)程控制受害者計(jì)算機(jī)以竊取敏感數(shù)據(jù)和財(cái)務(wù)信息,對(duì)國(guó)內(nèi)企事業(yè)單位及個(gè)人的信息安全構(gòu)成嚴(yán)重威脅�����。
一、“銀狐”病毒如何利用社交工程實(shí)現(xiàn)APT攻擊?
銀狐病毒以社會(huì)工程學(xué)為核心,通過(guò)水坑攻擊方式偽造常用網(wǎng)站���、偽造郵件��、偽造文件等方式,將帶有病毒的文件投遞到終端用戶,誘使用戶點(diǎn)擊或訪問(wèn)網(wǎng)站,將病毒文件下載至終端電腦,并將病毒文件運(yùn)行����。入侵成功后,病毒文件會(huì)潛伏下來(lái),黑客通過(guò)控制中毒主機(jī),持續(xù)收集用戶的工作/生活習(xí)慣���、掌握IM工具或郵箱的使用權(quán)限等,偽造與工作或生活高度相關(guān)的文件,然后再繼續(xù)通過(guò)郵件或微信群進(jìn)行魚叉攻擊其他收件人或群內(nèi)人員,點(diǎn)擊/運(yùn)行偽造的帶毒文件,完成病毒的擴(kuò)散行為。
“銀狐”病毒入侵傳播方式
1�����、水坑攻擊的精髓在于“守株待兔”:攻擊者先鎖定某類人群必然經(jīng)過(guò)的網(wǎng)絡(luò)“路口”(行業(yè)門戶����、工具官網(wǎng)、內(nèi)網(wǎng)下載站等),暗中篡改或仿冒這些可信站點(diǎn),把木馬植入看似合法的軟件安裝包(如 WPS�、向日葵、TeamViewer)��。當(dāng)目標(biāo)群體基于職業(yè)習(xí)慣或業(yè)務(wù)需求主動(dòng)下載時(shí),便瞬間完成無(wú)差別感染���。
2�����、魚叉攻擊更像是一場(chǎng)精心策劃的“狙擊”:攻擊者先對(duì)目標(biāo)個(gè)體(高管�����、財(cái)務(wù)��、研發(fā)等)進(jìn)行深度情報(bào)挖掘,再量身打造誘餌——一封看似來(lái)自老板或合作方的緊急郵件�、一份帶公司 Logo 的“合同”附件。只要目標(biāo)在定制話術(shù)與真實(shí)細(xì)節(jié)的誘導(dǎo)下點(diǎn)開鏈接,惡意代碼即刻精準(zhǔn)落地,實(shí)現(xiàn)定向控制���。常見(jiàn)以下幾種形式:
利用QQ群熱點(diǎn)事件誘導(dǎo)下載
利用熱點(diǎn)事件(如“稅務(wù)稽查”“所得稅匯算清繳”“放假安排”“3·15曝光”)制作文件名(如“2025第一季度企業(yè)所得稅申報(bào)通知.exe”),圖標(biāo)仿冒壓縮包(ZIP/RAR)或安裝程序(MSI)
通過(guò)微信群���、QQ群轉(zhuǎn)發(fā)釣魚鏈接或文件,利用工作群信任鏈擴(kuò)散,攻擊后迅速退群隱匿蹤跡。
利用郵件與文檔釣魚
郵件與文檔釣魚:向企業(yè)郵箱發(fā)送偽造的“稅務(wù)稽查通知”,附件含惡意鏈接或嵌入木馬的Excel/PDF文件�����。
近期出現(xiàn)的新型變種“銀狐”病毒特點(diǎn)
1)隱蔽性強(qiáng)化:
惡意軟件采用帶密碼的壓縮包(如“違規(guī)-記錄(1).rar”)進(jìn)行傳播,通過(guò)釣魚信息提供解壓密碼以繞過(guò)社交平臺(tái)安全掃描
惡意程序通過(guò)釋放白文件(如帶簽名的smigpu.exe)加載惡意DLL(libsmi.dll),通過(guò)內(nèi)存解密執(zhí)行Shellcode,避免磁盤留痕;使用非PE文件隱寫惡意代碼等方式隱藏惡意程序運(yùn)行,繞過(guò)終端殺毒軟件的文件掃描機(jī)制,使殺毒軟件檢測(cè)失效;
惡意程序與C2服務(wù)器回連通道每日更新,自動(dòng)失效,傳統(tǒng)邊界防護(hù)設(shè)備的防御規(guī)則難以及時(shí)更新,增加分析難度
2)防御規(guī)避技術(shù)升級(jí):
多樣化的惡意程序加白利用技術(shù),導(dǎo)致殺毒軟件放行合法簽名進(jìn)程,惡意載荷借機(jī)執(zhí)行,造成“信任背刺”
DLL劫持:偽造系統(tǒng)DLL(如libxml2.dll)劫持迅雷等合法程序,繞過(guò)應(yīng)用白名單�����。
.NET劫持:篡改AppDomainManager配置,加載惡意程序集(如ureboot.Commands.exe)。
合法遠(yuǎn)控軟件武器化:劫持企業(yè)管理軟件(如IP-Guard��、固信管控)的遠(yuǎn)程控制模塊作C2通道,流量偽裝為正常管理操作��。
新型持久化與無(wú)痕啟動(dòng),惡意程序持久化機(jī)制與系統(tǒng)組件綁定,常規(guī)清理后仍可復(fù)活
通過(guò)文件關(guān)聯(lián)+虛擬設(shè)備映射+PendingFileRenameOperations機(jī)制繞過(guò)安全軟件監(jiān)控,實(shí)現(xiàn)無(wú)痕啟動(dòng)��。
注冊(cè)系統(tǒng)服務(wù)(如UserDataSvc_[隨機(jī)字符])或利用UserInitMprLogonScript實(shí)現(xiàn)開機(jī)自啟���。
3)主動(dòng)對(duì)抗與多階段攻擊鏈能力提升,通過(guò)關(guān)閉殺軟��、局域網(wǎng)內(nèi)病毒擴(kuò)散等方式提高對(duì)抗能力以及擴(kuò)散傳染能力,最終實(shí)現(xiàn)信息竊密、挖礦及信息詐騙等目的�。該惡意軟件可長(zhǎng)期潛伏(≥2周),導(dǎo)致可能導(dǎo)致企業(yè)電費(fèi)激增、數(shù)據(jù)泄露及相關(guān)法律風(fēng)險(xiǎn)��。
銀狐木馬憑借精準(zhǔn)社會(huì)工程學(xué)偽裝(財(cái)稅誘餌)����、動(dòng)態(tài)對(duì)抗技術(shù)(日更樣本、無(wú)文件攻擊)及多階段危害鏈(竊密→挖礦→詐騙),持續(xù)威脅用戶上網(wǎng)安全�。
二、終端用戶如何防“銀狐”?
阻斷傳播途徑
對(duì)普通人來(lái)說(shuō),最簡(jiǎn)單的辦法是“先問(wèn)再點(diǎn)”:凡是帶密碼的壓縮包�����、文件名里帶“稅務(wù)”“補(bǔ)貼”的exe,一律先打電話核實(shí)。真實(shí)公文都有編號(hào),官網(wǎng)可查;真的同事也會(huì)接電話確認(rèn)�����。另外,Windows自帶的Defender�����、火絨��、360安全衛(wèi)士這類免費(fèi)工具,把實(shí)時(shí)防護(hù)和勒索軟件防護(hù)都打開,就能擋住大部分變種銀狐病毒��。
系統(tǒng)加固(降低被控風(fēng)險(xiǎn))
為了降低系統(tǒng)被控風(fēng)險(xiǎn),建議進(jìn)行以下加固操作:首先關(guān)閉高危系統(tǒng)入口,通過(guò)Win+R運(yùn)行g(shù)pedit.msc,在計(jì)算機(jī)配置→管理模板→Windows組件→自動(dòng)播放策略→關(guān)閉自動(dòng)播放,啟用(所有驅(qū)動(dòng)器);同時(shí)右鍵點(diǎn)擊.js/.vbs文件,將打開方式修改為"記事本"以限制腳本執(zhí)行�。其次實(shí)施關(guān)鍵權(quán)限管控,運(yùn)行services.msc停止并禁用Remote Registry(遠(yuǎn)程注冊(cè)表)和Task Scheduler(計(jì)劃任務(wù))等非必要服務(wù);日常使用標(biāo)準(zhǔn)用戶賬戶(非Administrator),僅在安裝軟件時(shí)臨時(shí)提權(quán)以限制管理員權(quán)限。
實(shí)時(shí)監(jiān)測(cè)與應(yīng)急響應(yīng)
如果發(fā)現(xiàn)系統(tǒng)被感染,客戶可采取以下應(yīng)急處理措施:1)手動(dòng)監(jiān)測(cè):通過(guò)任務(wù)管理器檢查異常進(jìn)程(如smigpu.exe�����、libsmi.dll)��、觀察異常高CPU/內(nèi)存占用(可能為挖礦),并在服務(wù)管理中排查可疑服務(wù)(如UserDataSvc_****)�����。2)應(yīng)急響應(yīng):立即斷網(wǎng)(拔網(wǎng)線或關(guān)閉Wi-Fi)以阻斷C2通信,終止惡意進(jìn)程,并清除持久化項(xiàng)(如注冊(cè)表啟動(dòng)項(xiàng)、計(jì)劃任務(wù))��。3)徹底清理:若無(wú)法完全清除,建議備份關(guān)鍵數(shù)據(jù)后格式化重裝系統(tǒng),并修改所有相關(guān)賬號(hào)密碼,以防進(jìn)一步泄露�����。
三���、“銀狐”病毒攻擊手段升級(jí),傳統(tǒng)防火墻面臨嚴(yán)峻挑戰(zhàn)
對(duì)于個(gè)人用戶來(lái)說(shuō),可通過(guò)基礎(chǔ)防護(hù)手段來(lái)達(dá)到提升銀狐病毒入侵的階段,但對(duì)于企事業(yè)單位財(cái)物安全來(lái)說(shuō),選擇防火墻抵御病毒是常見(jiàn)的手段�����。隨著銀狐病毒的攻擊手段升級(jí),傳統(tǒng)防火墻往往難以有效防御���。
首先在入侵階段,銀狐會(huì)采用水坑+魚叉兩種方式混合進(jìn)攻:
1. 水坑攻擊:黑客仿冒正規(guī)網(wǎng)站,并通過(guò)廣告推廣使其置頂,誘導(dǎo)用戶訪問(wèn)。由于傳統(tǒng)防火墻無(wú)法動(dòng)態(tài)識(shí)別惡意域名(黑URL����、黑IP),用戶可能誤點(diǎn)仿冒網(wǎng)站而中毒�����。
2. 魚叉攻擊:黑客結(jié)合熱點(diǎn)事件,通過(guò)郵件或微信發(fā)送帶毒鏈接,誘騙用戶點(diǎn)擊���。由于黑域名變化快���、數(shù)量多,傳統(tǒng)防火墻依賴人工收集和手動(dòng)加黑名單,難以跟上其更新速度���。黑客通過(guò)郵件或微信投遞惡意文件,而傳統(tǒng)防火墻的靜態(tài)檢測(cè)能力較弱,無(wú)法精準(zhǔn)識(shí)別新型或變種病毒文件,導(dǎo)致用戶設(shè)備被感染。
在攻擊擴(kuò)散階段,黑客會(huì)與已入侵的主機(jī)建立長(zhǎng)期的加密通信信道,以維持遠(yuǎn)程控制��?�!般y狐”病毒通過(guò)多次變種,采用高級(jí)加密算法傳輸數(shù)據(jù),使木馬通信具備極強(qiáng)的隱蔽性和抗篡改性,傳統(tǒng)防火墻難以檢測(cè)此類加密流量,導(dǎo)致無(wú)法有效識(shí)別內(nèi)網(wǎng)中的受感染主機(jī)��。
此外,傳統(tǒng)防火墻通常未與網(wǎng)絡(luò)設(shè)備深度聯(lián)動(dòng),僅能基于IP地址進(jìn)行溯源�。然而,在常規(guī)DHCP動(dòng)態(tài)分配IP的環(huán)境中,終端地址可能頻繁變更,使得精準(zhǔn)定位失陷主機(jī)變得極為困難,進(jìn)一步增加了安全防護(hù)和事件響應(yīng)的挑戰(zhàn)。
四���、銳捷Z系列防火墻多維防護(hù),讓“毒不過(guò)墻”
銳捷Z系列/CF系列防火墻基于本地多源威脅情報(bào)���、20000條高性能IPS規(guī)則庫(kù)及千萬(wàn)級(jí)病毒庫(kù),在銀狐病毒入侵和擴(kuò)散階段實(shí)現(xiàn)深度檢測(cè)與精準(zhǔn)攔截,確保病毒"進(jìn)不來(lái)、動(dòng)不了"�����。結(jié)合與交換機(jī)��、身份認(rèn)證聯(lián)動(dòng)的網(wǎng)安融合方案,可快速溯源攻擊源頭,精準(zhǔn)定位到人、到端,并支持一鍵阻斷,為企業(yè)構(gòu)建"檢測(cè)-攔截-溯源-處置"的全閉環(huán)安全防護(hù)體系��。
1��、本地多源威脅情報(bào),杜絕病毒回連外溢
銳捷網(wǎng)絡(luò)聯(lián)合騰訊�、安恒將威脅情報(bào)庫(kù)本地化部署于防火墻,在銀狐病毒入侵階段,實(shí)現(xiàn)“識(shí)別即阻斷”,無(wú)首包放行,杜絕攻擊逃逸,并對(duì)入站攻擊與出站回連進(jìn)行雙向攔截:無(wú)論是黑客初始滲透還是終端中毒后的回連、數(shù)據(jù)外傳,均可實(shí)時(shí)精準(zhǔn)阻斷�。本地威脅情報(bào)庫(kù)保持百萬(wàn)級(jí)黑域名、黑 IP等情報(bào)日更新,按遠(yuǎn)控木馬��、竊密木馬�、勒索軟件等 19 大類標(biāo)記,為管理員提供時(shí)效、相關(guān)�、準(zhǔn)確的攻防研判依據(jù),全面升級(jí)傳統(tǒng)特征庫(kù)防護(hù)。
2�����、天幕實(shí)驗(yàn)室:AI驅(qū)動(dòng)IPS革新20000+規(guī)則庫(kù)精準(zhǔn)狙擊高級(jí)威脅
銳捷網(wǎng)絡(luò)安全天幕安全實(shí)驗(yàn)室持續(xù)突破技術(shù)邊界,聚焦 Botnet�����、僵木蠕��、APT���、勒索��、挖礦��、WEB 與系統(tǒng)漏洞等前沿威脅研究,率先引入AI大模型輔助IPS特征庫(kù)生成;已獨(dú)立開發(fā) 20000條高質(zhì)量IPS特征,覆蓋 90+ 攻擊類別,精準(zhǔn)鎖定挖礦�����、勒索等熱門手段,并按周持續(xù)增量更新,實(shí)現(xiàn)“秒級(jí)”識(shí)別新型威脅,檢測(cè)效率與準(zhǔn)確率雙重躍升,真正做到風(fēng)險(xiǎn)零外溢����、通報(bào)零新增�。
3、網(wǎng)絡(luò)+安全融合,中毒終端秒切斷,一鍵溯源處置更安全
銳捷防火墻通過(guò)與交換機(jī)��、身份認(rèn)證系統(tǒng)等網(wǎng)絡(luò)設(shè)備的深度協(xié)同,在銀狐病毒經(jīng)過(guò)的第一時(shí)間自動(dòng)關(guān)聯(lián) MAC���、IP����、用戶身份與終端位置,后臺(tái)實(shí)時(shí)呈現(xiàn)“誰(shuí)中了毒����、在哪臺(tái)設(shè)備”���。運(yùn)維人員無(wú)需跨系統(tǒng)排查,即可在防火墻界面一鍵將黑 IP 或問(wèn)題主機(jī)加入動(dòng)態(tài)封鎖列表,瞬時(shí)切斷橫向傳播路徑,把病毒擴(kuò)散范圍鎖定在單臺(tái)終端,實(shí)現(xiàn)源頭清零、風(fēng)險(xiǎn)不蔓延����。
五、銳捷安全“斬狐”產(chǎn)品清單
六��、“斬殺銀狐”?,銳捷安全在行動(dòng)
銳捷Z系列/CF系列防火墻�����、EG-E/CMG系列網(wǎng)關(guān)產(chǎn)品通過(guò)多源威脅情報(bào)�����、AI驅(qū)動(dòng)的IPS檢測(cè)庫(kù)及網(wǎng)絡(luò)+安全融合方案,構(gòu)建了從“入口攔截”到“擴(kuò)散封殺”的全閉環(huán)防護(hù)體系,真正實(shí)現(xiàn)“毒不過(guò)墻�����、患不留蹤”����。
即日起,銳捷安全針對(duì)Z系列/CF系列防火墻、EG-E/CMG系列網(wǎng)關(guān)產(chǎn)品的老用戶開放專屬測(cè)試授權(quán),授權(quán)包內(nèi)含行業(yè)+性能滿配+全特征庫(kù)(IPS/APP/AV/URL/TI)+SSLVPN滿配,掃碼即可獲取31天免費(fèi)試用���。助您高效抵御“銀狐”木馬等高級(jí)威脅!立即申請(qǐng),體驗(yàn)企業(yè)級(jí)安全防護(hù)!
中企網(wǎng)微博
中企網(wǎng)微信