香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

假安全,真木馬!銀狐以查殺工具之名發(fā)起釣魚攻擊

  • 2025-06-25 11:30:35

銀狐木馬概述

近一年,銀狐木馬傳播勢頭居高不下,傳播手段也是花樣百出,儼然已經(jīng)成為近期國內最為活躍的木馬團伙之一。進入6月以來,其傳播態(tài)勢進一步抬頭。360安全大腦在其傳播高峰期的數(shù)據(jù)顯示,曾出現(xiàn)過日均攔截近10萬次木馬傳播的記錄,并曾單日處理銀狐近200種各類免殺變種的情況。同時,用于傳播的釣魚攻擊手段也在不斷更新,近期更是出現(xiàn)“防范銀狐木馬”“職人員違規(guī)亂吃喝處罰名單自查”為文件名的釣魚攻擊,堪稱“反向操作”大師,令人防不勝防。

當前版本銀狐木馬的一般攻擊流程示意圖如下:

?

1. 當前版本銀狐木馬典型攻擊流程示意圖?

360快速阻斷木馬傳播

面對快速傳播而又更新頻繁的木馬,360安全大腦利用云安全立體防護體系,進行了多維度多技術手段有效阻擊。

銀狐木馬傳播遇到的第一道防線便是360下載安全防護。360下載安全支持釘釘、微信、QQ等各類銀狐木馬傳播中利用的通訊軟件,實現(xiàn)處于傳播初期階段的木馬第一時間進行自動查殺。

?

2. 360攔截銀狐木馬下載?

面對360的防御,攻擊者也在攻擊手段上使出了渾身解數(shù)。我們總結了銀狐木馬團伙最近使用到的攻擊手段,主要有如下幾類:

l多文件攻擊
攻擊者在發(fā)送的木馬壓縮包中摻入大量正常無關文件,試圖以此來擾亂安全軟件的視線。安全軟件在對壓縮包進行檢查時,需要解壓其中的文件才能進行有效掃描。攻擊者用這種方式試圖來增加安全軟件的解壓分析失敗率

l大文件攻擊
這是一類歷史比較久遠的攻擊方式。攻擊者此類方式阻止安全軟件對樣本的采樣收集,試圖延長自身的生存周期。

l加密壓縮包攻擊
攻擊者可能使用帶密碼的壓縮包來傳遞木馬。如果用戶未能向安全軟件提供解壓密碼,則會直接影響安全軟件的安全分析能力

l配置型白利用攻擊
某些正常軟件的行為配置文件在一定范圍內進行更改和指定。攻擊者利用這類文件發(fā)起攻擊時,安全軟件如果僅檢查可執(zhí)行文件的安全性,可能無法有效識別存在于配置文件中的潛在風險。

面對以上種種攻擊形式,我們依托大模型輔助的智能分析系統(tǒng),將安全專家的分析經(jīng)驗匯集于模型之中,快速從各類掃描數(shù)據(jù)中找出符合以上攻擊特性的樣本,對其實施自動阻斷攔截。此外,還會對無法識別的可疑文件進行標記,監(jiān)控其后續(xù)行為。

對于傳輸過程中的漏網(wǎng)之魚,360主動防御系統(tǒng)會對用戶電腦提供強力保護。近期銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點擊、WFP斷網(wǎng)、安全軟件驅動利用、Windows?Defender策略濫用等。360主動防御在對抗中不斷成長,對這些攻擊均能進行有效防御,并對發(fā)現(xiàn)的漏網(wǎng)之魚進行清剿。

?

3. 360攔截銀狐木馬釋放惡意驅動

360智能查殺能力

僅僅能防御病毒還不夠,360還要對已經(jīng)中招的設備進行查殺清理。

我們在2023年就推出了遠控·勒索急救模式。對于已經(jīng)中招的設備,360可以一鍵阻斷攻擊者對電腦的控制,為后續(xù)木馬的清理提供寶貴的時間。

?

4. 360遠控·勒索急救模式

對頑固木馬的清理,360支持對各類驅動級木馬的清理、對被篡改的系統(tǒng)配置進行修復依托這些能力,我們能夠徹底清除銀狐木馬對系統(tǒng)的破壞。同時我們還支持了對被銀狐木馬利用的IPGuard、安在管理軟件、陽途管理軟件等軟件的智能卸載。目前,我們可以自信地說,360是國內清理能力最為全面的安全軟件。

樣本分析

當前,銀狐木馬實際上是一大類釣魚遠控木馬的總稱。目前流行的銀狐木馬旗下,包含有多個不同制作團隊和傳播團伙開發(fā)的多木馬。對木馬進行溯源可以發(fā)現(xiàn),其參與成員多數(shù)位于東南亞地區(qū),此外也有部分國內灰黑產(chǎn)成員參與。他們利用Telegram網(wǎng)絡組織進行聯(lián)系,不同團伙間有較為顯著的技術差異,但同時也保持著較為頻繁技術交流。

下面,我們選取了近期較為典型的一個活躍樣本進行分析說明。樣本壓縮包的文件名及其內部文件組成為

最新查殺防護Killingtools6V-069-VN.zip

123.txt

最新查殺防護Killingtools6V-069-VN.exe

壓縮包中的文件及“123.txt”的文件內容如下圖:

?

5. 壓縮包中的文件及文本內容

木馬安裝

該木馬首次運行的時候會判斷當前進程名是不是svchost.exe、winlogon.exe、vds.exe、vssvc.exe、explorer.exe。如果不是則通過查找vss服務啟動vssvc.exe進程,再通過線程池方式注入vssvc.exe進程當中,實現(xiàn)木馬的隱藏運行。

?

6. 木馬通過線程池注入手段注入vssvc.exe進程中

在木馬注入完成后,會遍歷進程查詢是否有ZhuDongFangYu.exe和360tray.exe進程。如果存在的話則會斷開網(wǎng)絡。

?

7. 木馬發(fā)現(xiàn)360后便會斷開網(wǎng)絡?

然后,木馬會在系統(tǒng)驅動目錄下(通常為C:\Windows\system32\drivers)釋放被利用的第三方驅動,并通過SCM注冊驅動服務,最后啟動該服務。

?

8. 將釋放的驅動注冊為服務并啟動?

木馬通過這個釋放出的驅動來關閉ZhuDongFangYu.exe和360tray.exe,成功后再恢復網(wǎng)絡。

完成對安全軟件的截殺后,銀狐會釋放一階段木馬,釋放的木馬主體路徑如下:

C:\Program Files\Internet Explorer\nvsc.exe

此外還會釋放木馬加載程序glbdll.dll,以及加密數(shù)據(jù)文件glbdll.bin。最終通過COM方式添加計劃任務。

?

9. 木馬添加計劃任務?

木馬執(zhí)行

最后,木馬會加載核心的遠控木馬。該遠控木馬具備常規(guī)的遠控功能,如獲取主機信息、截屏、鍵盤記錄等功能。

?

10. 加載遠控木馬?

遠控木馬獲取剪貼板內容后,會把其內容寫入到key文件中:

C:\Program Files\Internet Explorer\temp.key

遠控木馬上線C2的IP地址為13.230.98.233。在木馬在上線前,會大量解析訪問正常站點,以此來躲避一些網(wǎng)絡防護監(jiān)控的監(jiān)測。

?

11. 木馬獲取剪切板內容?

完成一階段木馬安裝后,攻擊者會手動下發(fā)二階段木馬安裝包并手動運行安裝,實現(xiàn)對被攻擊設備的長期控制。

發(fā)起電詐攻擊

在完成二階段遠控的安裝后,攻擊者還會利用用戶不在電腦前的時機再次快速向用戶的好友傳播木馬,并嘗試發(fā)起電詐攻擊。

當前,銀狐木馬會利用被害者電腦中的微信、釘釘群,發(fā)下圖中的釣魚文檔,誘導其他用戶支付寶掃碼。

?

12. 攻擊者通過電詐攻擊發(fā)送的釣魚文檔?

而其二維碼中對應的內容通常是一個釣魚網(wǎng)站,比如,對上圖中的二維碼進行解碼,可以看到鏈接內容如下圖:

?

13. 對釣魚文檔中的二維碼進行解碼分析

此外,也有類似下面的釣魚鏈接。兩者的共同特點是利用支付寶的功能頁面跳轉,偽裝其釣魚鏈接,使用戶更難發(fā)現(xiàn)其釣魚攻擊,而且其最終釣魚落地頁面,也是被掛馬的正常網(wǎng)站。

?

14. 另一些二維碼中的掛馬站點連接

如果用戶掃描其釣魚二維碼,就會看到類似于如下頁面的釣魚網(wǎng)頁。攻擊者會在站點中進一步騙取用戶的個人信息、銀行賬戶信息,最終誘導用戶實施轉賬支付,騙取用戶金融資產(chǎn)。

?

15. 最終呈現(xiàn)在用戶面前的釣魚頁面?

攔截防護

360安全大腦可攔截并查殺此類木馬,已安裝有360終端安全產(chǎn)品的用戶不必太過擔心。

?

16. 360安全大腦有效攔截上述分析的銀狐木馬

安全建議

l強化終端防護
在企業(yè)內部設備中部署安全軟件,開啟實時監(jiān)控與自動更新,若安全軟件異常退出,應立即斷網(wǎng)查殺。

l嚴控文件風險
對不明壓縮包及可執(zhí)行文件,堅持不解壓、不運行、不輕信。有條件的情況下,應將可疑文件上傳至可信的安全分析平臺進行檢測和上報。

l警惕釣魚信息
收到含“財稅”“自查”甚至是此次傳播中出現(xiàn)的“防范木馬”等敏感關鍵詞的通知文件,務必通過官網(wǎng)、官方APP或電話等方式進行二次核實,勿直接點擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應從官網(wǎng)或企業(yè)內部平臺獲取,并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后,要先經(jīng)安全軟件掃描。

l及時應急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號異地登錄等風險征兆,應盡快使用360等安全產(chǎn)品進行全面掃描,必要時重裝系統(tǒng)。

l行業(yè)重點防護
如財稅或涉密等重點、敏感崗位,在業(yè)務高峰期執(zhí)行文件應雙人復核,避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應通過EDR、EPP等安全系統(tǒng),對惡意軟件的運行及通信進行全方位告警和攔截。

360安全衛(wèi)士

熱點排行

用戶
反饋 返回
頂部