2025银狐木马年度报告.pdf_咨信网zixin.com.cn

资源描述

20252025 银狐木马年度报告银狐木马年度报告360 安全卫士服务号2025 年 12 月 30 日 17:33北京第一章：银狐木马概况第一章：银狐木马概况“银狐木马”，又名“游蛇”或“谷堕大盗”等，该名称因为被广泛使用，现已不再指代某一特定家族木马，而是逐渐变为对一类木马程序的通称。其主要是依托钓鱼攻击进行传播的一类远程控制类木马，攻击目标以政企单位用户为主。目前，银狐木马已成为国内最为活跃的木马家族。根据 360 安全智能体监测分析发现，该木马家族背后的制作及免杀团伙有超过 20 个，并且还不断有新的木马团伙加入。过去一年，对国内政企单位发起了数万起攻击，给企业正常经营与生产安全造成了极大的影响。一：目标人群及攻击范围变化一：目标人群及攻击范围变化目前，“银狐”类木马的传播方式主要集中在三类渠道：即时通讯工具（如：钉钉、微信等）、仿冒网站以及钓鱼邮件。其中，今年通过邮件传播的比例明显下降，而利用聊天工具传播的比例有较明显上升。企业员工中招的初始因素，多为在钓鱼网站下载了银狐木马，尤其是一些“代理”软件，被银狐木马大量利用。而在企业内大肆扩散更多是通过聊天群进行传播。在攻击目标方面，以往银狐木马更偏向“精准打击”，多针对财务人员、企业管理人员等关键岗位，通过长时间伪装和反复沟通实施诈骗。但今年的情况有所变化，攻击者更倾向于“广撒网”，对受害者身份不再特别挑选。只要感染到一台设备，木马会积极收集其中的用户信息，并利用受害者已登录的微信等聊天工具继续向联系人发送恶意文件，借此进一步扩散，并可能用来实施诈骗。二：获利方式调整二：获利方式调整在过去，银狐木马案件经常与大型诈骗案件关联，精准化攻击特征显著。往往针对企业财务人员或公司高层发起攻击，动辄造成数十万甚至上百万元的损失。这类案件往往与电信诈骗、公司对公转账操作深度绑定，攻击链条长、准备充分、手法复杂。攻击者通过各类技术手段或直接窃取管理层社交、办公账号误导财务人员执行大额对公转账。而今年的情况出现了较为明显的变化。银狐木马更偏向于“广撒网”式的小额诈骗模式，获利规模随感染量同步扩大。攻击者常常紧扣“企业所得税汇算清缴”“清明节放假通知”等周期性事件，或以“领取补贴”“系统退款”“平台违规处理”等名义通过微信/企业微信等社交平台群发消息。也可能通过搜索引擎优化提升钓鱼网页曝光度，引导用户输入电子账户信息、扫描虚假二维码进行小额转账。受害人群也从原来的特定岗位扩散到几乎所有普通用户，不论年龄、职业都可能成为目标，甚至开始向海外华人群体延伸。相应地，单笔诈骗金额大幅下降，通常在 2000 至 3000 元之间。但因受害设备会被当作“跳板”，通过建群进行传播，导致木马传播量也出现了较大增长，整体危害依然不可忽视。另外，有一部分通过特定渠道传播的“银狐”木马还具备专门针对数字资产的功能。它们会精准扫描计算机中主流数字货币钱包客户端、交易所登录记录，不仅搜集窃取钱包信息与私钥，还会提取浏览器保存的相关账号密码和 Cookies数据，以替换交易地址等方式盗走数字货币资产。这类攻击往往隐蔽性更强，且资金转移后难以溯源。一旦受害者财产被盗几乎无法追回，风险远高于传统诈骗。除上述核心获利方式外，银狐木马的获利链条还呈现出多元化、产业化特征。受控设备被感染后，除用于直接诈骗外，还会被当作“跳板机”转卖或租赁给其他黑产团伙用于更大范围的网络攻击活动。而木马窃取的企业内部数据、个人隐私信息也会按类别打包，在暗网批量出售给下游诈骗或信息中介，形成“窃密分类售卖”的独立变现渠道。更值得警惕的是，其已形成“恶意软件即服务（MaaS）”的产业化运作模式，黑产团队会将攻击工具、钓鱼模板、传播渠道等打包成标准化服务向其他黑产团伙兜售。这在降低诈骗门槛的同时，也按攻击效果提成获利。更有甚者，一些银狐木马变种还会作为勒索软件的前置渗透工具，协助后续加密数据勒索，进一步拓宽了获利边界，危害从单一财产损失延伸至数据泄露、系统瘫痪等多维度风险。三：查杀趋势变化三：查杀趋势变化（一）：木马查杀（一）：木马查杀2025 年以来，银狐木马在对抗频次方面持续提速。其免杀版本更新频率通常小于小时级别，一天内可发布数百个各类版本，实现快速迭代。整体传播趋势亦有显著上涨，传播态势持续处于高位。在工作日，日查杀量维持在 5 万次/天以上。在传播高峰时期，其周传播量甚至可达 90 余万次，根据 360 安全大脑拦截记录，对银狐木马的单日拦截量高峰期曾超过 20 万次/天。钓鱼网站拦截方面，2025 年前 11 个月拦截超过 1 万个银狐钓鱼站点。尤其在今年 7 月份，高峰期每天新增数百个银狐钓鱼站点。此外，在 11 月专项治理了一批涉及银狐灰黑产的境外传播站点，这也导致数据上 11 月的数据量有较大提升。这批被处理的站点约有 6000 个，内容主要涉及伪造 Telegram 钓鱼、伪造 LetsVPN 钓鱼、伪造 Chrome 钓鱼、伪装KuaiLian 钓鱼等情况。（二）：新增变种（二）：新增变种2025 年以来，银狐木马异常活跃，不断涌现出新的变种。根据 360 安全大脑统计，仅 2025 年前 11 月中，就发现了 967 个新型银狐木马变种，几乎每天都有新家族变种出现。而这一态势在年初的 3、4 月和年末的 9、10 月份尤为明显，报告截止时，共计有约 3 万种新免杀样本被记录。其中 12 月数据还未完全统计，故数据量较小。四：攻击地域与时间四：攻击地域与时间（一）：地域分布（一）：地域分布根据 360 安全大脑统计，银狐木马当前主要攻击目标集中在境内，境外整体攻击量不高，但较往年有所提升。而对我国境内的各区域进行细化分析，发现广东省、山东省及江苏省的受攻击量位居前三。根据我们的分析人员研判，认为国内当前的这种受攻击态势与各地区的人口、经济发达程度、政企单位的设备量都有关系。直观的区域分布图如下：（二）：时段分布（二）：时段分布此外，对于银狐这类目标导向明显的木马，我们格外关注其在一天当中各时间段的攻击分布情况。我们对其攻击数据进行了抽样统计，发现以小时对全天攻击量进行分割后，每天上午 10 点前后及 14 点至 16 点的区间范围内，有着非常明显的攻击峰值。这一分布也恰恰与银狐木马主要攻击目标人群的工作时间高度吻合。高峰时，每秒有数百台设备被木马攻击。2025 年前 11 月，360 终端安全产品更新了超 156 项防护方案，以应对银狐的各类攻击手法。而对抗过程也不会止步于此，下面我们将从其攻击技术的角度，对其进行分析。第二章：银狐木马的技术演进第二章：银狐木马的技术演进一：传播方式一：传播方式银狐木马最让人警惕的，就是它惊人的传播能力。虽然它本身的技术手段并不算复杂，但扩散速度之快、范围之广，可以说是今年最具“感染力”的木马类型之一。下面梳理了它的几种主要传播方式。（一）：（一）：IMIM 传播类传播类通过聊天软件传播是目前银狐木马最常见、最主要的传播方式。它主要依靠微信、钉钉等常用聊天软件进行扩散，并具有以下特点：借用受害电脑上已登录的账号传播银狐木马本身并不具备盗取微信、钉钉账号密码的能力，它只能利用已经在受害者电脑上处于登录状态或开启了自动登录的聊天软件，通过远程控制来进行操作。常见的传播手法攻击者通常会利用被控制电脑的微信或钉钉执行“拉群”“点对点私聊”等操作，然后给好友或群成员发送伪装成文档、图片、压缩包的木马文件或钓鱼链接，诱骗更多人点击，从而继续扩散。而在传播内容的包装方式上，银狐木马团伙也会使用各种技巧来绕过安全软件的检查。今年比较常见的手法主要包括：使用带有密码的压缩包这种方式通常会配合一封“恐吓信”。对方会在信里提供解压密码，并要求用户关闭安全软件，然后解压并打开其中的文件。不过，通过全网感知能力，360 终端安全等产品可以在不依赖密码解密的情况下直接识别和查杀这类加密压缩包中的木马。使用超大压缩包和格式异常的压缩包这种方法主要是对抗安全软件的自动扫描。攻击者会发送体积特别大或结构异常的压缩包，导致安全软件无法完全解压或扫描失败，从而尝试躲避查杀。对于普通用户，这类异常往往不明显，因此更具迷惑性。当前仍有部分银狐木马在使用这类衍生方法。使用包含大量文件的压缩包类似上一种方法，通过包含大量文件的方式，拖慢安全产品对接收文件的扫描进度，企图绕过查杀。使用微信笔记发送此类手段同样也是为了避免直接传文件容易被封禁和被安全软件拦截。攻击者又想出了利用微信笔记的方式绕过封禁进行传播的方法。使用图片、文档发送钓鱼信息攻击者会把钓鱼链接或提示信息放在图片或文档中发送。这些文件本身不是病毒，自然不会被安全软件直接查杀，但一旦用户根据提示操作，就可能进入钓鱼网站或下载安装木马。使用特殊格式文件（如 msc，HTML 等）这类文件在特定环境下可以执行脚本或触发系统功能，攻击者利用它们作为“引导文件”，让用户在打开后自动执行恶意程序。如果安全软件未对这些格式进行防护，就可能被绕过。利用虚拟硬盘打包另外，还出现过使用 VHD 虚拟硬盘格式传播银狐木马的案例。VHD 文件本质上是一个可被 Windows 加载的“虚拟磁盘”，攻击者甚至会把木马打包成一个虚拟硬盘，诱导用户双击打开，从而执行恶意内容。除此之外，攻击者还会使用更多变种技巧，如嵌套压缩、拼接文件等。银狐木马团伙在与安全产品的对抗中不断尝试新方法，只要能躲过检测、成功传播，他们就会不断更新手段。（二）：网站传播类（二）：网站传播类利用钓鱼网站，SEO 站点，挂马站点传播，也是银狐木马传播上的一大特点。钓鱼站点集中在两大领域，一类是办公相关软件，如：钉钉，WPS，微信电脑版，有道翻译等。另一类是一些灰产与 IT 管理相关软件，如：Telegram，KuaiLian，LetsVPN，MobaXterm 等。这也显示了不同攻击团伙对不同目标人群的倾向。依靠搜索引擎传播在各大主流搜索引擎的结果中，如今也常夹杂着“银狐木马”的传播内容。这些恶意页面往往通过 SEO 优化（提高搜索排名）混入正常结果中，甚至有不法分子直接通过投放广告的方式，让带有木马的页面出现在搜索结果的前列。木马页面仿冒极其相似，域名也比较接近，用户稍不注意，就可能被引导访问钓鱼网站，下载带毒的文件。木马挂载地址由于安全厂商会对木马使用的域名和服务器进行快速封禁，攻击者为了降低成本、提高“存活率”，开始大量转向公共云平台来托管恶意文件。这类平台申请便宜、限制少、难以直接封禁，因此很容易被滥用。目前被“银狐”木马团伙频繁利用的平台包括：阿里云对象存储、百度对象存储（BOS）、123 网盘直链、文叔叔等常见的文件或对象存储服务。例如，就曾有木马利用百度 BOS 存储挂载恶意组件，其访问链接类似于：hxxps:/网盘存放如利用 123 盘存放木马等（三）：邮件传播类（三）：邮件传播类在 2025 年，银狐木马通过邮件传播的数量相比往年有所下降，但邮件依然是其重要的传播渠道之一。此类攻击通常面向企业财务人员，攻击者往往假借“财税稽查”“税务通知”“发票异常”等名义发送钓鱼邮件，引导收件人点击附件或下载链接，从而在电脑中植入木马程序。（四）：漏洞传播类（四）：漏洞传播类直接通过漏洞传播的银狐木马较为少见，一般是通过 web 漏洞，拿下一些站点进行挂马传播。常见被利用的网站漏洞有 KindEditor、WordPress、UEditor、ThinkPHP 等数十款热门 Web 应用漏洞。比如某公司网站使用了带有漏洞的 KindEditor 编辑器，导致被攻击者拿下，挂载了银狐钓鱼页面。后续又被用作钓鱼网站传播。该网站被植入的恶意载荷列表如图：（五）：企业横向传播（五）：企业横向传播银狐木马的横向传播，与勒索、挖矿等病毒的横向传播方式不同。银狐木马较少进行内网横向扫描渗透，一般是通过收集被控设备的相关信息，采集使用人的关系网。再伺机通过聊天软件、企业内部群进行传播。因此，经常能够见到，同一个变种的用户木马在一个地区或者一个企业内大量传播的情况。二：木马潜伏二：木马潜伏在过去两年，银狐木马通常潜伏期较长，从一周到三个月不等，攻击者会在受感染设备中静默收集信息。但 2025 年传播的银狐木马更倾向于“短平快”策略，长期潜伏的情况已经不多见了。即便有少数设备长期被感染，多数也是因为管理疏忽长期不进行查杀所致。现在，攻击者在控制一台设备后，通常只会进行 1 到 3 天的信息收集工作，然后迅速利用该设备进行二次传播或发起诈骗。由于安全厂商加快了对银狐木马的检测和处置，被感染的设备很快就会被暴露和清理。换句话说攻击者如果不尽快变现获利，很可能“费尽心机”植入的木马，很快就被安全产品清除了。三：攻防对抗技术三：攻防对抗技术（一）：常规免杀手法（一）：常规免杀手法在与安全软件的对抗中，银狐木马采用的“免杀”手段与传统木马类似，但它更新的速度非常快。在攻击高峰期，我们曾一天就捕获到超过 200 个新的免杀版本，可见银狐木马背后的制作团队已经是职业化的攻击队了，会不断调整和优化木马，以躲避各类安全检测。我们一般常见的免杀方式包括：加壳，使用打包工具如 nsis、msi、Inno Setup，制作超大文件等方式。除此之外，银狐木马还用到了其他一些免杀方法，其中比较流行的有下面几种。“白加黑”通用免杀方式：“白加黑”是近年来最流行的木马落地方式，通常有一个正常软件的可执行部分（exe），配合木马 DLL 与 ShellCode 文件组成。典型的运作方式是：正常 exe 启动后会加载部分 dll 执行，木马作者替换这些 dll，就获得了执行机会。此时利用这个执行机会，加载数据文件中的ShellCode 执行。木马的核心代码位于 ShellCode 文件中，该文件是木马作者自行定义的数据格式，病毒引擎很难对它进行检测查杀。而负责执行的 exe 本身是正常程序，也非病毒。静态引擎扫描查杀的点就只能落到 dll 文件本身。而这个 dll 文件，一般功能极其精简，核心代码只有读取同目录下的 ShellCode 文件并加载。攻击者还会使用一些技术手段，降低这些代码的敏感度。比如将少量恶意代码，混杂在大量正常代码中，降低被引擎发现的概率。这类“白加黑”方案，通常还会被制作为通用方案，使得“正常白文件”与 ShellCode 文件可以随意替换，dll 文件制作成为一个通用的加载器，任意使用。正常程序利用这是一类特殊的“白加黑”利用方式，攻击者不直接编写木马 PE 模块，而是利用正常软件的功能，修改影响的配置，实施利用的一种方法。最常见的，如修改一些游戏 launch 程序的 config 文件，利用 launch 程序执行配置中的功能。部分程序，配置能力丰富，如可以执行一些脚本，甚至 ShellCode，被攻击者选中，携带相应的配置加以利用。针对这类利用方式，常规的静态扫描方式较难适配，需要针对性地加特征处理。文件拼装方式这也是一类常见的落地免杀方式，木马程序在部署和驻留时以脚本、lnk、命令行等为纽带，文件以分片文件或加密文件的形式存储。木马启动时，通过引导脚本，临时拼装木马程序执行，执行完成后再清除拼装的文件。减少文件的落地时机，降低被扫描的风险。这样能够被扫描的内容就只有少量配置与命令参数，降低被引擎查杀的可能。畸形类这也是被病毒木马经常使用的一类免杀方法，今年也有部分银狐木马使用了这类方法。其思路是，构造结构畸形 PE 文件，利用系统加载程序时的异常处理，获得特定的执行效果。严格意义上说，本次文件结构错误，不属于可正常执行的程序。可能会被杀毒引擎跳过或直接造成误判。（二）：利系统特性利用（二）：利系统特性利用除了常规的免杀手段外，银狐木马背后的制作团伙显然对 Windows 系统的各种机制特性也颇有研究，这一点在银狐木马利用各种系统特性进行传播的技术上彰显得淋漓尽致。利用.NET 中的 GAC 劫持系统全局程序集缓存（即 Global Assembly Cache，缩写为 GAC）是 Windows 系统中.NET Framework 提供的一个特殊目录，用来存放经过强名称签名（StrongName）的.NET 程序集。它的作用是让多个应用程序能够共享同一个程序集，而不需要每个程序都单独复制一份。这样，既可以节省磁盘空间又能确保不同应用使用的是同一个版本的程序组件，避免出现版本冲突问题。但木马利用.NET的这一特性后，则可以实现对指定.NET 程序的随意劫持。木马利用该手段完成对 System.Collections.Modle.dll 的劫持操作后，会修改注册表以接管.NET 应用程序域管理行为，进而实现对目标系统的全局影响。利用.NET 特性发起隐蔽攻击比如下面这个银狐样本，可以看到下面一个不寻常的组合（除 exe 文件外，其它文件一般都会被设置为隐藏属性）。在.NET 应用程序的默认运行状况下，会自动读取这个与应用程序可执行文件（.exe）同名且带有.config 扩展名的配置文件。而该配置文件采用 XML 格式，用于存储应用程序的运行参数以便在不修改代码的情况下调整应用程序的行为。而当前攻击案例中的银狐木马正是利用了这一特性，添加了一条 My App Domain Manager（使用自定义 AppDomain 管理器）的记录来指向 ipc.dll 这个动态链接库文件。以下则是常见用户劫持的 DLL 文件代码结构：在进行了这种配置后，主程序便会在初始化时自动加载文件中指定的ipc.dll 文件，并执行其 InitializeNewDomain（AppDomainSetup）完成初始化。利用微软 WDAC 特性攻击安全软件木马会在%WinDir%System32Code Integrity 目录下释放一个名为SiPolicy.p7b 的文件。SiPolicy.p7b 就是 WDAC 的策略控制文件，其内容会控制 Windows Defender 相关功能组件阻断各类程序驱动的正常运行。通过解码这个 SiPolicy.p7b 的文件内容，可以发现其包含了众多极具针对性的拦截策略：若当前系统中已遭到了该银狐木马的入侵，那么当系统中有安全软件运行时，用户便会看到如下的系统弹窗弹出。这也就是 Windows Defender 在被银狐木马利用后，对各类安全软件的拦截策略已经生效的结果。利用未公开的 explorer 接口执行银狐木马的制作团伙还曾利用过一种未公开的系统机制来执行恶意代码。简单来说，他们发现了 Windows 系统中 Explorer 进程的一类特殊消息指令。攻击者会先把恶意代码（也就是所谓的 shellcode）写入 Explorer 的内存空间，然后向 Explorer 发送一条特定的系统消息，指向这段恶意代码的位置，从而诱使 Explorer 去执行它。（三）：防护产品弱点利用（三）：防护产品弱点利用银狐木马团伙还会利用安全软件自身的防护技术弱点进行攻击。利用系统安全机制绕过防护随着微软收紧了对核心层（Ring0）的控制，很多安全软件的监控只能在用户层（Ring3）进行，也就是说它们只能通过“钩子”（hook）拦截部分系统调用来监控恶意行为。这种方式存在被绕过的风险。例如，有木马可以直接使用系统调用（syscall）来执行操作，从而避开用户层监控；还有一些攻击通过构造特殊的数据包，调用系统组件（COM 接口）来模拟合法操作，从而在后台执行恶意行为。这类攻击方式更隐蔽，也更难被传统安全产品检测到。下面便是利用构造的 RPC 数据包调用 COM 接口。使用 NdrClientCall3函数向COMServer发送数据包模拟SchRpcRegisterTask 方法调用。模拟用户操作攻击银狐木马还具备一种“模拟点击”的能力，可以让电脑像被用户亲自操作一样打开文件或执行程序。比如：有木马会利用微软提供的一个辅助功能接口 D COM IAccessible。这是用于无障碍操作的标准接口，原本目的是帮助系统对界面进行程序化控制，比如帮助残障用户操作窗口。系统桌面本质上是一个名为 SysListView32 的列表控件。对于这类控件，Windows 提供了一个默认动作（DefaultAction），通常就是“双击”。银狐木马正是利用这一点：它可以遍历桌面上的图标元素，然后调用系统提供的“acc Do DefaultAction”方法，让 Explorer 代替用户执行一次“双击”操作。换句话说，看似是用户自己双击打开了文件，其实是木马在暗中操控，这种方式具有很强的伪装性和迷惑性。利用安全软件配置绕过防护银狐木马在对抗安全软件时，也会刻意利用安全产品自身的机制进行绕过。例如，曾有攻击者直接篡改杀毒软件的“信任区”列表，把木马伪装成“可信程序”，从而避免被查杀；也有木马通过修改系统防火墙策略，让自己能够自由访问外部服务器。近年来，银狐木马的规避手法更加多样化。例如：伪装成游戏环境部分安全软件在检测到游戏运行时，会自动降低弹窗和拦截力度，以避免影响玩家体验。木马通过模拟游戏运行环境，让安全软件误以为用户正在玩游戏，从而放松防护。利用误报规避机制一些安全产品为了避免误报，会对特定类型的软件更“宽松”。银狐木马会伪装成这些常见软件，借此降低被检测到的概率。模拟系统关机或用户点击木马甚至会伪造系统关闭消息诱导安全软件自行退出，或者模拟用户点击界面，主动调起杀毒软件的卸载程序，让安全软件“被迫自己卸载自己”。这些手法本质上都是在利用安全软件的正常机制来规避检测，因此更具迷惑性，也对安全产品自身的防护能力提出了更高要求。利用安全软件配置绕过防护利用微软 DCOMIAccessible 的特性实现模拟点击。IAccessible 是一个微软提供的标准辅助操作接口，可操作所有窗口。系统桌面是一个 SysListView32控件，属于 List 控件，对于 List 控件，提供一个默认的 DefaultAction 操作，就是双击操作。所以只要遍历到桌面上的元素，执行一个accDoDefaultAction，就可以利用 explorer 对目标实施一个双击操作，模拟用户主动操作。（四）：第三方组件利用（四）：第三方组件利用驱动利用技术（驱动利用技术（BYOVDBYOVD）木马为了与安全软件对抗，往往会借助第三方软件或组件来提升自身能力。其中，近年来银狐木马使用最频繁的，就是滥用第三方驱动程序来对抗甚至截杀安全软件。过去，由于 Windows 对驱动程序的限制较少，攻击者可以随意编写自己的驱动，与安全软件“正面对抗”。但随着微软不断收紧驱动签名和加载策略，这种方式已经几乎行不通了。为了继续突破防护，木马作者开始采用新的思路不再自己写驱动，而是利用别人已经写好的驱动。这些驱动可能来自安全软件、硬件厂商、工具软件等，它们本是合法且正常使用的系统组件。部分驱动在设计时，对调用场景限制不够严格，对调用者身份或执行内容缺乏校验。攻击者通过逆向分析它们的功能，就可以“借刀杀人”，利用这些驱动来完成一些高权限操作，例如：绕过系统限制强制结束进程删除受保护的文件创建关键系统节点修改敏感数据等这些能力让木马可以轻松对抗安全产品或完成普通软件无法做到的操作。过去一年，我们已经处理并封堵了超过 2000 种被滥用的驱动案例。例如近期发现的 zam64.sys，本是某安全软件组件，但其驱动功能被攻击者利用后，同样可能成为对抗安全软件的工具。银狐木马的攻击技术方法层出不穷，在此无法一一列举。2025 年前 11 月，我们更新了超 156 项防护方案，应对各类攻击手法。攻击手法也不会止步于此，攻防对抗就是一个相互对抗的过程。四：驻留技术四：驻留技术（一）：无文件与（一）：无文件与 LOLBASLOLBAS 驻留驻留利用系统中的一些程序，实现特定功能，这在木马攻击中非常普遍，银狐木马会选择一些较少被使用的程序实现该方法。比如，木马使用 FTP 静默执行特定脚本的方式，实现启动。系统的 FTP 程序本是用来访问 FTP 站点的，但通过特定的命令参数，可以使用程序的启动，连环利用类似的策略，攻击者就可以实现在没有常规木马文件落地的情况下实现木马的驻留。（二）：利用合法软件进行驻留，打造（二）：利用合法软件进行驻留，打造“永久免杀永久免杀”后门后门在我们协助用户处理木马时，已经多次出现同时安装多款企业管控软件的情况：被利用的软件主要是 IT 管理类软件和远程协助类软件，这类软件本身能够实现远程访问和控制计算机，攻击者利用这一特性，将配置好的这类软件隐蔽部署到受害用户电脑中。实现长期非法远程控制，由于这类软件本身是合法软件，被安全软件检出并查杀的概率较小，能够实现所谓的永久免杀，更有甚者，攻击者会一次部署多款这类软件，来防止“全军覆没”。在 2025 年，360 终端安全新增支持了 12 款这类被利用软件的拦截或清理。（三）：使用各类系统自启动项驻留（三）：使用各类系统自启动项驻留计划任务、服务、注册表中 Run 项、启动目录是银狐木马最常用的驻留方式，攻击者一般会使用“白利用”的方式，将“正常文件”放入启动项，通过正常文件加载、引导、调用木马程序的方式，或者启动和实现驻留。例如木马会添加一个伪装为 Onedrive、Microsoft Edge 等名称的计划任务：（四）：通过注入（四）：通过注入 ShellCodeShellCode 驻留运行驻留运行严格来说，注入 ShellCode 运行不是独立的驻留技术。但这项技术配合其他驻留手段，被广泛用于银狐木马的驻留运行之中。木马在启动后，会通过注入系统进程的方式，藏匿自己的行踪，避免被安全软件检测发现。比如下面的木马会读取 adp.xml 内容，将其加载到内存中执行，并注入系统的桌面进程（explorer.exe）中。（五）：通过软件劫持驻留运行（五）：通过软件劫持驻留运行银狐木马还会利用“软件劫持”的方式让自己长期运行。简单来说，就是趁其他程序启动时，偷偷插入自己的代码，借机获得执行机会。一个常见做法是劫持微信加载的库文件。当微信启动并加载这些文件时，木马就能跟着一起运行。另一种方式是劫持系统的库文件，比如利用 Windows 的 TypeLib（类型库）劫持。攻击者修改注册表：HKEY_CLASSES_ROOTTypeLibGUID0win32或HKEY_CLASSES_ROOTTypeLibGUID0win64让系统在读取类型库时，加载他们伪造的组件，从而实现木马的持久化启动。通过这些手段，木马不需要自己显眼地运行，就能“寄生”在合法软件里长期存在。五：远控木马与远程控制五：远控木马与远程控制银狐木马发展至今，控制用户电脑使用的方法和工具多种多样，大致可分为以下类型：自制远控如 Gh0st 变种类远控、WinOS 远控以及其它一些制作远控。使用合法远程协助软件AnyDesk、ToDesk购买商业远控如 ScreenConnect、第三只眼、超级眼远控、超级网控等使用企业管理软件如 IpGuard、固信、阳途、安在等。（一）：自制远控（一）：自制远控银狐木马最常见的工具，就是它们自己制作的“远程控制木马”（远控）。这类木马由制作团队亲自开发，可控性强、功能可随时添加、免杀能力也更强。常见的类型包括：Gh0st 远控的改造版WinOS 远控的变种团队自制的小众远控工具其中，自制的小众远控通常功能比较简陋，因此一般只用作第一阶段的远控也就是用来突破防御、在受害者电脑上先站稳脚跟。等取得进一步控制权后，攻击者往往会把它替换成功能更强、操作更稳定的远控木马。简单来说，银狐的远控体系一般是：先用轻量型远控突防，再换成更强的远控长期控制Gh0st 远控的变种是目前最常见、流行度最高的一类远控木马。原因很简单，Gh0st 的源代码是公开的，任何木马开发者都可以在其基础上进行修改、扩展，做出适合自己需求的“定制版木马”。也正因为如此，Gh0st 变种数量众多、更新快、功能灵活，成为许多木马团伙常用的远控工具之一。WinOS 远控是近年来新起的一类远控，具备完整的功能体系和控制架构和强大的扩展功能，能够管理数千个终端节点的同步连接。其架构主要由核心的上线模块和丰富的功能模块构成：上线模块负责维持通信链路，接收指令并调度各项功能；功能模块则提供多样化的管理能力，涵盖系统、网络、安全等多个维度的操控需求。其功能简图如下：（二）：利用合法远程工具（二）：利用合法远程工具比如今年我们新捕获的一款被利用远控，攻击者会滥用名为 UEMSAgent 的合法远程管理软件，对用户电脑进行控制。攻击者先在受害者电脑上静默安装这款软件，然后篡改其配置文件（如 DCAgentServerInfo.json），将原本的服务器地址替换为自己的控制端。例如，在被修改的配置中就出现了归属地为中国香港的控制服务器（103.115.56.103:8383）。完成这些步骤后，UEMSAgent 就会在后台自动连接攻击者的服务器，用户的电脑也因此在毫无察觉的情况下被远程操控。据 UEMSAgent 官网介绍，该软件有远控软件常用的功能。例如远端档案传输、多监视器支持、录制远端会话等，除此之外还有下图中的大量功能：部分木马，还会查询用户机器是否有向日葵远程工具。如有，会窃取向日葵的机器码和密码用于后续控制。（三）：购买商业远控（三）：购买商业远控有时候，攻击者也会选择购买商业远控实施攻击活动。如我们之前就捕获到有银狐木马攻击者使用 ScreenConnect，第三只眼、超级眼远控、超级网控等商业远控非法控制用户计算机。这类远控软件一般具备合法资质，基本应用于运维、远程协助或企业管理等。攻击者会将其重写打包，通过静默安装的方式部署到受害者用户电脑中，从而在后台悄悄运行，实现对用户的持续监控。这类远控一般应用于正规用户，被安全软件查杀的概率相对较小。（四）：使用企业管理软件（四）：使用企业管理软件滥用企业管理软件，已经成为银狐木马最常见，也最隐蔽的驻留方式之一。许多企业都会使用远程运维、资产管理等工具来管理电脑，而这些软件本身是完全合法的。攻击者使用私有化部署的方式，将这些软件脱离管理、静默安装到用户电脑上，就能像“现成的远控木马”一样使用，甚至比真正的木马更稳定、更难被发现。攻击者无需编写任何恶意代码，就可以利用软件自带的远程桌面、命令执行、文件管理等功能，对受害者电脑进行长期控制。有些攻击者为了确保不被查杀，甚至会同时部署多款管理软件来“互相兜底”。由于它们本身是企业常见的工具，安全软件不容易将其判定为木马，再加上软件通常具备自保护机制，普通用户即使察觉也很难卸载。近两年，360 安全大脑已发现数十款被滥用的软件，其中最常见的包括 IPGUARD、阳途、固信、安在等。针对这一情况，360 终端安全产品已推出这类软件的滥用检测与一键清理方案，帮助用户从这些“披着合法外衣”的控制程序中恢复系统安全。六：获利途径六：获利途径银狐木马的不同分支之间，最大差别就在于它们的“赚钱方式”。根据获利途径，银狐木马大致可以分为三类：第一类是转账诈骗，主要针对企业财务或老板，伪装成指令诱导受害者进行大额转账；第二类是扫码电诈，通过发送伪装成通知或补贴的钓鱼信息，引导用户扫码，随后骗取支付或转账；第三类则是专门窃取虚拟货币的钱包信息，目标是比特币等数字资产。不同分支的银狐木马，会围绕各自的获利方式设计传播链路和攻击流程。（一）：转账诈骗（一）：转账诈骗此类银狐木马在发起攻击前，攻击者往往会预先做好充足的准备工作，即利用社会工程学手段降低受害者警惕性，为技术攻击铺路。攻击者首先会精准定位财务、管理等高价值目标人群，再结合其工作场景和时间节点，伪造高可信度的官方文件或工作通知，通过社交信任链或官方机构伪装实现传播。同时借助前文提到的各类技术手段，向目标设备植入木马程序。木马一旦被成功植入受害设备，攻击者便会通过远程控制功能对其进行全量监控。这样不仅能获取受害人的微信、QQ 等社交软件聊天记录，还能掌握企业财务账户信息、人员层级关系、领导沟通习惯等核心数据，进而为后续冒充诈骗构建完整的信息画像，这也是诈骗最终能精准得手的关键前提。最终，攻击者会基于前期窃取的信息完美复刻企业领导的社交账号，模仿其头像、昵称、语气，甚至能准确叫出同事姓名、知晓企业业务往来，构建“高逼真度”的信任场景。随后通过建群、私聊等方式下达转账指令，利用财务人员对领导的服从性和工作的紧迫性需求诱导其在未充分核实信息真伪的情况下完成转账，实现其最终的攻击目的。更有甚者，攻击者如果在第一阶段就成功入侵了最终的高价值目标受害者的机器且设备环境允许，则其有可能会直接对受害设备进行远程控制并自行完成转账操作。（二）：扫码电诈（二）：扫码电诈在控制用户计算机后，银狐木马会利用被害者电脑中的微信、钉钉群，发送下图中的钓鱼文档，诱导其他用户支付宝扫码。而其二维码中对应的内容通常是一个钓鱼网站，比如，对上图中的二维码进行解码，可以看到链接内容如下图：此外，也有类似下面的钓鱼链接。两者的共同特点是利用支付宝的功能页面跳转，伪装其钓鱼链接，使用户更难发现其钓鱼攻击，而且其最终钓鱼落地页面，也是被挂马的正常网站。如果用户扫描其钓鱼二维码，就会看到类似于如下页面的钓鱼网页。攻击者会在站点中进一步骗取用户的个人信息、银行账户信息，最终诱导用户实施转账支付，骗取用户金融资产。（三）：窃取虚拟货币数字资产（三）：窃取虚拟货币数字资产部分银狐木马，既不会主动传播，也不会发起电诈，而是专注于用户的隐私信息，窃取用户密码与重要数据。下面这款远控木马具有常见的远控功能，如：文件传输、截图、键盘记录、收集用户系统信息、遍历是否存在网络分析工具等行为，其最终目标是窃取用户的数字资产。它会获取浏览器保存的密码信息：木马还会定时截取屏幕并保存，监控用户的一举一动。时机成熟时，通过劫持钱包地址的方式，在用户转账时，将数字货币盗走。（四）：投递勒索软件（四）：投递勒索软件本年度我们还捕获了通过“银狐木马”投递勒索病毒的攻击案例。溯源分析显示，这类攻击属于勒索攻击团伙采购了“银狐类远控木马”之后发起攻击的情形。也就是说，银狐木马不仅被用于诈骗，还开始被更广泛地滥用，与勒索攻击等灰黑产活动结合得越来越紧密，呈现出明显的“泛化”趋势。七：制作团伙七：制作团伙在 2025 年度，360 共监控到了超过 20 个活跃的银狐木马制作团伙，而参与其中的相关可疑人员，除了中国地区外，还有相当一部分大量聚集于东南亚国家。我们分析了从 2023 年 5 月到当前新增的木马制作团伙。从 2024 年 11月开始，新增团伙开始显著增加。整个 2025 年度的新增攻击者的新增量则始终维持在一个较高的位置。具体的时间分布情况如下：此外，这些可疑攻击团伙进行分析，在 2025 年依然处于高度活跃状态的攻击者占到总量的 62.29%，而即便只看 2025 年下半年，高度活跃的攻击者占到总量的 41.77%。攻击者的地域分布来看（以攻击者使用 IP 进行分析，非攻击人员的绝对位置），除中国地区外，攻击 ip 主要集中于东南亚地区，占到了总量的 36.4%，而这其中越南地区是绝对主力地区。而在我国境内的部分，除了人口和经济均较为发达的广东地区外，香港地区也是一个较为集中的分布区域。经研判，这主要是因为有大量病毒木马开发者租用了香港地区的虚拟主机用作代理或专用于木马传播。云南地区，主要是由于IP 解析定位不够准确，部分东南亚地区的攻击者会被记录为云南地区。总体而言，银狐木马的制作团伙在 2025 年度出现了较为明显的活跃势头。同时，从业人员与电诈相关从业者有较集中的往来。第三章：银狐木马应对方案第三章：银狐木马应对方案一：威胁预防一：威胁预防对于各种类型的安全威胁，预防永远是第一位的。而针对银狐木马而言，最简单的预防方式还是需要用户能够识别常见的钓鱼信息，遵守相应的安全规范。这样能够极大地提升银狐木马攻击的难度。（一）：识别钓

展开阅读全文