银狐介绍

银狐团伙的攻击手法具有高度隐蔽性和技术对抗性，结合公开情报及微步在线研究数据，其核心攻击手法可归纳如下：

一、初始攻击向量

1. 钓鱼攻击

   • 邮件钓鱼：伪造"税务补贴"、"薪资调整"等主题邮件，附件携带加密恶意文件（如.zip、.docx），诱导用户执行（[[2]][[10]]）。
   • 即时通讯钓鱼：通过微信、企业微信等发送伪装成"聊天记录"、"政策通知"的恶意文件（如TRBYU23.exe），利用社会工程学诱导点击（[[10]][[8]]）。
   • 搜索引擎广告投毒：购买广告位推广仿冒软件下载页面（如仿冒向日葵、WPS），诱导用户下载含木马的安装包（[[14]]）。

2. 供应链污染

   • 软件更新劫持：篡改第三方软件安装包（如TrueUpdate），捆绑恶意DLL文件（如liteav.dll），利用合法签名绕过检测（[[14]][[10]]）。
   • 云存储平台滥用：通过Rejetto HFS搭建恶意文件服务器分发载荷（[[9]]）。

二、载荷投递与执行技术

1. 白加黑（Living-off-the-Land）

   • 使用合法签名程序（如某股票软件adta.exe）加载恶意DLL（如libcef.dll），构建"白进程链"绕过杀软主防（[[6]][[10]]）。
   • 利用微软官方程序（如helpPane.exe）或商业软件（如IP-Guard）作为加载器，规避进程链检测（[[6]][[8]]）。

2. 无文件攻击

   • 内存加载：从隐写图片或加密XML文件中解密恶意代码，直接反射注入到svchost.exe等系统进程（[[6]][[12]]）。
   • 多阶段加载器：通过Go语言编写的加载器下载加密载荷，在内存中解密执行BigWolf RAT等远控模块（[[12]][[14]]）。

3. 对抗检测技术

   • 环境检测：检查时区（非UTC+8则退出）、硬盘容量（识别沙箱）、虚拟机MAC地址（VMware/VirtualBox特征），并设置PAGE_GUARD内存页干扰调试（[[2]]）。
   • 延迟执行：休眠300秒规避沙箱时间窗口限制（[[2]]）。
   • 驱动级对抗：使用BYOVD（Bring Your Own Vulnerable Driver）技术卸载杀软内核回调（[[9]]）。

三、持久化与横向移动

1. 持久化机制

   • 计划任务：通过RPC远程创建隐藏任务（如SystemUpdater_upd_emin），绑定用户登录事件触发（[[2]][[8]]）。
   • 服务注入：利用COM组件或注册表修改实现自启动（[[10]]）。
   • 快捷方式劫持：篡改浏览器快捷方式参数加载恶意代码（[[9]]）。

2. 横向渗透

   • 凭证窃取：通过键盘记录、浏览器密码提取获取内网凭据（[[14]]）。
   • 远程控制工具滥用：使用魔改版Gh0st、IP-Guard等商业远控工具进行内网扫描（[[8]]）。

四、数据回传与C2通信

1. 隐蔽通信
   • DDR技术：利用云笔记平台（如语雀）或合法网站（如GitHub）托管C2配置信息（[[9]]）。
   • 加密通道：使用TLS 1.3加密通信流量，C2服务器多位于香港（如43.248.173.152）（[[2]][[10]]）。

防御建议

1. 终端防护

   • 部署微步OneSEC（EDR）检测多阶段注入行为，结合内存扫描识别反射加载（[[6]][[14]]）。
   • 使用微步XGPT分析可疑进程链，识别异常RPC/COM调用（[[12]]）。

2. 网络层防护

   • 通过微步TDP（NDR）监测异常外联流量（如连接香港IP），TIP平台集成银狐IOC实现实时阻断（[[6]][[14]]）。
   • 配置OneDNS拦截恶意域名解析（如143.92.48.23相关域名）（[[10]]）。

3. 威胁情报应用

   • 调用微步威胁情报云API验证文件哈希（如4a536dfc75a0230166a52f3ac5917b5a）、IP等IOC（[[6]][[10]]）。

银狐攻击手法持续演进，需结合行为检测（如微步OneSEC的IOA引擎）与威胁情报（TIP平台）实现动态防御。最新变种已可通过云沙箱（微步S）进行深度分析（[[14]]）。

查杀工具：

银狐病毒专杀工具（深信服科技）https://download.sangfor.com.cn/download/product/edr/antivirus_tool/sfakiller_x64.exe•
银狐专杀工具(绿盟科技)NVS_loader v1.3.3https://www.lszjy.com/_upload/article/files/c5/fc/78c0ae204941bb68f8987f05bad1/755d9db0-96d3-4394-a619-f332dcbc7f7e.zip• 银狐病毒专杀工具(安恒)工具下载（适用于win7及以上系统） 点击下载
https://edr.dbappsecurity.com.cn/dd/das_scanner.zip

工具下载（适用于winxp系统） 点击下载
https://edr.dbappsecurity.com.cn/dd/das_scanner_winxp.zip
相关网页链接（14）

1
小心！“间谍”正在潜入你的手机：“银狐”木马 ...

“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。 它常常 利用微信、钓鱼网页等方式，以虚假的“发票”、“财税”、“人员名单”等相关信息为幌子 进行传播。 例如下面这个钓鱼网页便是伪装成税务稽查通知，诱骗用户下载其附件并运行。 该钓鱼网页具有很大的迷惑性，用户稍不留神便会中招。 看见《9月份涨薪名单》、《财会人员薪资补贴调整政策所需材料》这些链接，也千万要提高警惕哦！ 近日，广西贵港某公司的何会计遇到了一件匪夷所思的蹊跷事。 她刚用电脑登录个人微信账号，就突然发现自己的电脑出现异常情况：电脑屏幕上的鼠标图标在自行移动，仿佛有一只无形的手在远程操控着自己的电脑，并在逐个向通讯录的人员和群组发送广告信息和不明链接。

2
【钓鱼专题】“银狐”深度剖析：从钓鱼诱饵到远控潜伏

在清晰了解“银狐”病毒邮件的整体攻击链后，本部分将深入到攻击的核心环节，对攻击者使用的具体技术手段进行详细剖析。 只有洞悉其运作机理，才能制定出更具针对性的防御策略。

3
银狐黑产组织最新攻击样本详细分析-先知社区 - aliyun.com

这种攻击方式大概率是此前使用“银狐”工具的黑产团伙组织之一，笔者对该样本进行详细分析，供大家参考学习。 通过分析，可以确认是此次钓鱼攻击活动与此前“银狐”某黑产团伙使用的攻击样本是同源样本。 去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级。 先知社区是一个安全技术社区，旨在为安全技术研究人员提供一个自由、开放、平等的交流平台。

4
“银狐”木马风险分析及防范建议 - 安全内参 | 决策 ...

“银狐”木马常见的传播路径有即时通信软件（IM）传播、钓鱼网站传播和虚假软件传播三种。 一、基本情况. “银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。 攻击团伙通过投递远控木马，获得受害者的计算机控制权限，在系统内长期驻留，监控用户日常操作，窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为。 二、风险分析.

5
银狐木马5月新变种：绕过EDR和AV实现隐蔽持久化攻击 ...

近日，亚信安全应急响应中心在日常狩猎中截获“银狐”变种，该变种不仅通过BootExecute机制绕过EDR（Endpoint Detection and Response）和AV（Antivirus）软件，还展示了新型持久化手段和多阶段攻击流程。其特点包括利用 数字签名 伪装、配置文件加载恶意DLL、异或加密解密 PDB文件、内存中释放PE文件、拼接 ...

6
杀软EDR都没检出？一文秒懂“银狐”四大绕过手法 ...

微步总结出“银狐”团伙攻击技术过程中的四大绕过手法：浑水摸鱼、李代桃僵、瞒天过海、包藏祸心。 01浑水摸鱼：模拟鼠标点击，构造合法执行链路加载恶意代码

7
银狐超进化！引爆2025开年最大黑产攻击 - FreeBuf网络 ...

“银狐”最新变种在免杀对抗和驻留技术上有极大提升，导致部分单位的攻击事件反复出现。 微步通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。

8
银狐变种引发的2025 年最大规模黑产攻击事件深度剖析 ...

银狐采用“白加黑”手法，通过白文件加载同目录下的黑 dll 文件，隐藏上线模块，增加检测难度。 银狐使用多重注入技术形成断进程链，同时构建注入的白链，进一步增强隐蔽性。 银狐通过 rpc 远程创建计划任务和服务进行持久化，确保其在系统中的长期存在。 银狐木马采用了各类魔改的 gh0st 和多样化的商业远控工具，如 IPGuard 和固信等，增加了检测和清理的复杂性。 银狐使用多个驱动保护自身不被结束，确保其关联文件不被删除，创建的持久化项不被清理，从而实现长期驻留。 建议企业成立专门的运营小组，制定详细的应对计划，集中资源应对活跃的黑产攻击。 快速发现威胁并进行响应是关键。 企业应部署有效的 EDR（终端检测与响应）技术，以提高威胁检测和响应能力。 员工是企业安全防线的重要组成部分。

9
聚焦银狐丨探究病毒肆虐传播背后隐藏的迭代玄机 ...

通过对近期发现的“银狐”木马进行分析，得知其主要采用Win0s作为后门模块，以实现对用户电脑活动的监控。 通过网上泄露的源代码可以看到，这类后门已具备键盘记录、查看屏幕（高速屏幕、娱乐屏幕、后台屏幕）、摄像头查看、文件管理、语音监听、远程终端执行、系统管理、驱动插件、注册表管理、压力测试等功能。 IP-Guard等行为管理软件本身是用于企业内部管理的工具，具备记录电脑日常操作的功能。 而“银狐”组织利用这类软件，能够获取用户电脑的更多权限，从而记录用户电脑的日常操作，包括浏览网站、社交通信消息记录、文件外发跟踪、电子邮件劫持、智能截图、文件操作、打印机日志、剪贴板记录、屏幕录像等。 因此，一旦“银狐”组织成功取得用户电脑的控制权，便会通过类似软件对木马进行更深层次的传播。

10
银狐木马最新攻击手法分析 – 瑞安研技术博客

银狐木马攻击团伙自2022年开始活跃，其传播手段包括：即时通讯工具钓鱼，邮件附件钓鱼，钓鱼网站，下载站冒充常用工具等方式，主要针对企事业单位的管理、财务、销售、金融从业等相关人员发送具有针对性的钓鱼、欺诈类信息，望企事业单位务必要

11
银狐猎影：深度揭示银狐团伙技战法 - 安全内参 ...

所以我们将该类型的网络攻击诈骗行动背后的黑产团伙合并为“银狐”集合体，针对其中的每个团伙分类追踪。 攻击方式 以微信/QQ等聊天软件传播为主要途径。

12
“银狐”病毒新变种再掀波澜？不用怕！防范措施和 ...

深信服终端安全团队结合近期几十起攻击案例中的样本发现，“银狐”在“免杀”对抗中大量使用了以下攻击技术： 1、数字签名伪装： 利用合法身份绕过检测

13
“银狐”家族木马升级攻击活动分析 - 安全内参 ...

此次攻击活动中出现的恶意代码特征以及攻击手法，与此前披露的使用“银狐”工具的黑产组织高度相似，且在攻击链和反安全检测上更加复杂，我们怀疑此次攻击是银狐组织的其中一个升级家族攻击活动。

14
一周后对抗升级，“银狐”又现新手法 - 知乎

两周前微步披露过专攻金融等行业的黑产组织“银狐”四大绕过手法，深度分析一经发布便得用户纷纷认可。 但万万没。