关于银狐木马
简要介绍
银狐木马改写自开源的Ghost木马,为4.0版本,在2022年9月起,开始活跃,首次被微步收录是在2023/06/25,在2025年前后成为了目前国内最活跃的木马之一,由于发现时是在金融行业之中,同时免杀手法十分精妙,如狐狸般狡猾,因此微步情报局取代表金融机构的“银”和代表精妙手法的“狐”将此团伙命名为“银狐”(微步情报局原话),所谓的“银狐”并不是一个黑产团伙,而是一个当前在黑产圈广泛使用的、去中心化传播的黑产木马,即一个黑产工具,任何攻击者都可以获取和使用。接下来我将会从多个方面来讲解银狐。
传播方式
钓鱼攻击
·邮件攻击:攻击者会伪造"税务补贴"、"薪资调整"等主题邮件,附件携带加密恶意文件,诱导用户执行
·即时通讯传播:攻击者会将木马伪装成"政策通知","人员名单"等,诱导点击
·搜索引擎传播:攻击者会通过伪造官网,诱导用户下载银狐,通常为压缩包形式(zip,rar等)
以上3种传播方式是普通用户最容易碰到的,尤其是搜索引擎传播(不建议使用Bing作为主力搜索引擎)

免杀
·白加黑:攻击者利用一个正常的拥有合法签名的程序,加载一个恶意dll文件来实现攻击,用白程序当挡箭牌来绕过主防
·隐藏文件:通过隐藏自身释放的衍生物,使用户正常使用即使看到病毒衍生物也无法通过资源管理器看到恶意程序
·内存无文件执行:直接将银狐加载到内存中,并注入到系统进程中(如explorer.exe,svchost.exe等),做到文件不落地的免杀方法
·多阶段加载器:通过Go语言编写的加载器下载加密载荷,在内存中解密执行BigWolf RAT等远控模块
沙箱规避
·通过检测时区(是否为UTC+8),检测硬盘容量(是否小于正常值),检测MAC地址等来判断是否在虚拟机或是沙箱环境
·延迟执行:延迟执行恶意代码,使沙箱无法观测到银狐实际执行恶意代码的时候(沙箱通常有180s左右的时间限制)
对抗
·银狐通常会释放并加载存在漏洞的 Windows 内核驱动文件来实现对抗,具体表现为阻止杀毒软件安装,终止杀毒软件
持久化
·计划任务:通过RPC远程创建隐藏任务,绑定用户登录事件触发,实现自启动
·服务注入:利用COM组件或注册表修改实现自启动
攻击步骤
1传播阶段:攻击者通过伪装官方网站(多为zip与rar格式的压缩包),或是用即时通讯软件传播银狐(攻击者通常会提示你在电脑端打开,且是exe格式的可执行文件)在传播到受害者身上被执行时,则会进行下面的操作
2环境检测:银狐会对当前环境进行检测,如:检测硬盘大小,时区是否为UTC+8,检测MAC地址等来判断是否在虚拟机环境之内,以及延迟执行来规避沙箱,当环境检测没有问题之后,会通过枚举所有进程来检查是否有杀毒软件(如检测到腾讯电脑管家,或是360安全卫士与360杀毒,会直接终止这两个杀软的主进程)随后进行恶意行为
3攻击与二次传播:银狐通常会在C盘释放衍生物,文件夹名通常为一串没有规律的字符串,随后嵌套多个类似文件夹,在里面通常会有一个真的安装包,以及银狐的主程序(通常会隐藏在文件夹中,无法通过资源管理器直接查看),以及释放一个存在漏洞的 Windows 内核驱动文件并加载,随后会阻止杀毒软件安装(前提是你的杀软不够冷门),以及拦截用户搜索杀毒软件的网址,阻止连接杀毒软件官网,有些银狐还会利用WDAC(Windows Defender用户程序控制)来阻止杀软以及特定软件的启动,做完这些之后银狐会与C2服务器通信,远程控制受害者电脑,盗取受害者的隐私信息,以及利用受害者电脑上的即时通讯工具对银狐进行二次传播。
由于银狐的迭代更新快,免杀技术也越来越精妙,银狐的手段也会越来越多,此攻击步骤只适用于参考最近以及以前的银狐攻击行为。
预防与清除
预防
1安装杀毒软件,预防病毒,提前防止病毒入侵电脑
2安装防火墙,拦截异常外联流量,防止银狐与C2服务器进行通信
3不要在不受信任的网站上下载东西,非官网以外自称是官网以及网址有问题的网站上不要下载任何东西,更换搜索引擎(避免使用Bing)
4不要在QQ群或是微信群内下载关于“人员调动”以及“政策通知”类的压缩包或是exe文件(有些木马也会利用wps以及其他办公软件的漏洞进行攻击,即使格式也是ppt,pptx等)
5不要在邮箱内下载来路不明的文件
清除
如已经感染银狐,通常无法正常安装杀毒软件,访问杀毒软件的官网, 此时就要使用急救工具进行急救,可以使用360系统急救箱,或是火绒顽固木马查杀,卡巴斯基的KVRT等进行扫描(扫描时应当连接网络),当然你肯定无法访问这些的官网,您可以尝试在手机上下载完以后,尝试上传到电脑上使用,如果已经可以正常访问杀毒软件官网,安装杀毒软件时,应当下载杀毒软件(避免使用360的杀软以及腾讯电脑管家,这两个会被银狐直接终止主进程)随后进行全盘查杀,保证没有残留。
如果此清除办法对你没有帮助,可以上网求助(论坛或是贴吧都可以)
此文章为搜集并整理总结,并非个人原创分析,参考网址:银狐介绍 - CLLWA - 博客园,情报共享站-微步在线云沙箱,银狐(木马病毒的变种)_百度百科
卡巴斯基官网:面向家庭和商业企业的卡巴斯基网络安全解决方案 | 卡巴斯基
360系统急救箱独立版官网:360系统急救箱 _360安全中心
KVRT扫描器官网:免费病毒清除工具 – 在线病毒扫描 | 卡巴斯基
火绒恶性木马专杀工具:火绒恶性木马专杀工具 - 火绒安全工具 - 火绒安全软件
ESET在线扫描仪:ESET 在线扫描仪 | ESET
百度贴吧病毒吧:病毒吧-百度贴吧
卡饭论坛:卡饭论坛_最好的软件论坛_讨论 - 互助分享 - 大气谦和!

银狐木马改写自开源的Ghost木马,为4.0版本,在2022年9月起,开始活跃,首次被微步收录是在2023/06/25,在2025年前后成为了目前国内最活跃的木马之一,由于发现时是在金融行业之中,同时免杀手法十分精妙,如狐狸般狡猾,因此微步情报局取代表金融机构的“银”和代表精妙手法的“狐”将此团伙命名为“银狐”
浙公网安备 33010602011771号