360獨家發(fā)布《銀狐木馬年度報告》,深度剖析網(wǎng)絡(luò)威脅“隱形炸彈”
摘要: 銀狐木馬攻擊策略從"精準(zhǔn)打擊"轉(zhuǎn)向"廣泛撒網(wǎng)",政企亟需警惕
近年來,銀狐木馬持續(xù)對我國政企機構(gòu)構(gòu)成重大安全威脅。該木馬自2020年首次現(xiàn)身以來,初期傳播范圍有限,直至2022年9月進入集中爆發(fā)階段。進入2025年后,其傳播態(tài)勢呈現(xiàn)顯著飆升態(tài)勢,已從最初的單一病毒樣本演變?yōu)檫h程控制木馬家族的統(tǒng)稱,長期針對政府、金融、醫(yī)療及制造業(yè)的管理與財務(wù)人員實施隱蔽攻擊,成為潛伏在數(shù)字網(wǎng)絡(luò)中的“隱形炸彈”。
為應(yīng)對日益嚴(yán)峻的銀狐木馬威脅,360數(shù)字安全集團基于二十年實戰(zhàn)攻防及持續(xù)一線對抗經(jīng)驗,首次獨家發(fā)布《銀狐木馬年度報告》,系統(tǒng)剖析其傳播態(tài)勢與技術(shù)演進。
報告披露,該木馬背后已聚集超過20個制作與免殺團伙,且仍有新團伙持續(xù)加入。僅過去一年間,該木馬已向國內(nèi)政企單位發(fā)起數(shù)萬起精準(zhǔn)攻擊,顯著加劇了政企機構(gòu)內(nèi)網(wǎng)安全防護難度,對關(guān)鍵基礎(chǔ)設(shè)施安全運營構(gòu)成嚴(yán)峻挑戰(zhàn)。
為此,報告還針對性提出體系化的防御方案,旨在有效構(gòu)建多維度應(yīng)對能力,切實提升對銀狐木馬威脅的抵御效能,為關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)筑起動態(tài)防護屏障。
報告顯示,在過去的一年間,銀狐木馬在攻擊目標(biāo)、傳播范圍、獲利模式及對抗查殺等方面均呈現(xiàn)顯著演變,威脅態(tài)勢持續(xù)升級。
首先,其攻擊策略從“精準(zhǔn)打擊”轉(zhuǎn)向“廣泛撒網(wǎng)”:過去針對財務(wù)、高管等關(guān)鍵崗位,通過竊取賬號誘導(dǎo)大額轉(zhuǎn)賬(單筆達百萬級),與電信詐騙深度綁定;如今轉(zhuǎn)為小額詐騙(單筆2000-3000元),利用“企業(yè)所得稅匯算”“清明放假通知”等周期性場景或“補貼領(lǐng)取”“系統(tǒng)退款”等話術(shù),通過微信群發(fā)、釣魚網(wǎng)站廣泛傳播,受害人群擴展至普通用戶及海外華人。木馬感染后還會自動收集信息,利用已登錄社交賬戶轉(zhuǎn)發(fā)惡意文件,實現(xiàn)鏈?zhǔn)綌U散,部分變種可竊取數(shù)字貨幣錢包私鑰,直接盜取數(shù)字資產(chǎn)。
背后獲利鏈條呈現(xiàn)多元化、產(chǎn)業(yè)化特征:受控設(shè)備被轉(zhuǎn)賣為“跳板機”,竊取數(shù)據(jù)在暗網(wǎng)分類販賣,形成“惡意軟件即服務(wù)(MaaS)”模式,甚至為勒索軟件鋪墊攻擊,形成多維危害生態(tài)。
整體態(tài)勢呈現(xiàn)高頻迭代、傳播激增、變種暴漲特點:免殺版本分鐘級更新,單日數(shù)百次迭代;工作日日均查殺量超5萬次,高峰周傳播量破90萬次,單日攔截峰值超20萬次;年內(nèi)攔截釣魚站點逾1萬個,7月日均新增數(shù)百個,11月處置6000個境外站點;同期發(fā)現(xiàn)967個新變種,累計記錄近3萬種新免殺樣本,3-4月及9-10月尤為活躍。
此外,攻擊集中于境內(nèi),廣東、山東、江蘇受攻擊量居前三,與地區(qū)人口、經(jīng)濟及政企設(shè)備量相關(guān);攻擊時段呈現(xiàn)規(guī)律性高峰,每日10點及14-16點與目標(biāo)人群工作時間吻合,高峰期每秒數(shù)百臺設(shè)備受襲。為應(yīng)對該木馬威脅,360安全智能體2025年內(nèi)已更新超156項專項防護方案。
銀狐木馬成為當(dāng)前最具威脅的惡意程序,關(guān)鍵在于其背后已形成分工明確、環(huán)節(jié)完整的產(chǎn)業(yè)化攻擊鏈,覆蓋傳播、潛伏、對抗、駐留、遠控直至獲利全過程,顯著提升了其生存能力與危害性,使得防御與追溯極為困難。
傳播方式上,其核心是借助微信、釘釘?shù)燃磿r通訊工具,利用已登錄賬號通過社交關(guān)系鏈快速擴散偽裝文件。其次,攻擊者還會搭建仿冒辦公及常用軟件的釣魚網(wǎng)站,并通過SEO或廣告提升搜索排名以誘導(dǎo)訪問。此外,木馬也利用釣魚郵件、常見Web應(yīng)用漏洞進行傳播,并在企業(yè)內(nèi)部通過竊取的社交關(guān)系實現(xiàn)橫向擴散,大幅增加防控難度。
潛伏策略上,銀狐木馬已從過去長達數(shù)周或數(shù)月的長期潛伏,轉(zhuǎn)向“短平快”模式:控制設(shè)備后通常在1至3天內(nèi)完成信息收集并迅速用于二次傳播或詐騙。這一變化主要源于安全廠商檢測效率的提升,迫使攻擊者縮短操作窗口以避免木馬被快速清除。
攻防對抗上,銀狐木馬綜合運用多種技術(shù):采用加殼、“白加黑”等免殺手法規(guī)避靜態(tài)檢測;濫用.NET框架機制、篡改WDAC策略等系統(tǒng)特性提升隱蔽性;通過模擬用戶操作、篡改安全配置等方式繞過動態(tài)防護;并濫用第三方合法驅(qū)動程序?qū)拱踩M程。這些持續(xù)演進的技術(shù)使其得以維持高威脅態(tài)勢。
駐留技術(shù)上,該木馬采用的手段包括濫用系統(tǒng)工具進行無文件駐留、部署合法遠程管理軟件建立隱蔽后門、利用計劃任務(wù)等服務(wù)實現(xiàn)自啟動、將ShellCode注入關(guān)鍵進程隱藏行蹤,以及通過劫持常用軟件組件或系統(tǒng)TypeLib實現(xiàn)隨合法程序激活。
遠程控制上,其方式呈現(xiàn)多樣化:既使用自研的Gh0st、WinOS等變種,也濫用AnyDesk等合法遠程工具,或直接購買商業(yè)遠控軟件,最隱蔽的是濫用IPGUARD、陽途等企業(yè)管理軟件“合法外衣”持久控制。近兩年,360發(fā)現(xiàn)數(shù)十款被濫用軟件,并推出檢測與一鍵清理方案,持續(xù)助力政企機構(gòu)有效應(yīng)對。
獲利方式上,則主要包括四類:冒充領(lǐng)導(dǎo)實施轉(zhuǎn)賬詐騙;以補貼通知為名誘騙掃碼,竊取支付信息;監(jiān)控并劫持錢包地址盜取虛擬貨幣;以及作為前置工具投遞勒索軟件。這表明其已從單一詐騙工具演變?yōu)橹味鄻踊诋a(chǎn)變現(xiàn)的攻擊平臺。
2025年中,360監(jiān)測到超20個活躍團伙,其中超六成在全年保持高度活躍。攻擊者呈現(xiàn)跨國分布特征,境外主要集中在東南亞地區(qū),占攻擊源的36.4%,越南尤為突出;境內(nèi)則以廣東和香港為主要聚集地。整體上,銀狐木馬團伙活躍度顯著上升,且與電詐從業(yè)人員關(guān)聯(lián)密切,威脅持續(xù)泛化與升級。
對于各類安全威脅,預(yù)防始終是應(yīng)對的第一道防線。針對銀狐木馬,最有效的預(yù)防在于用戶能夠主動識別常見釣魚信息,并嚴(yán)格遵守相關(guān)安全規(guī)范,從而顯著提高攻擊者的實施難度。360建議政企機構(gòu)保持高度警惕,并采取體系化、針對性的防護措施,筑牢安全屏障。
作為國內(nèi)唯一兼具數(shù)字安全和人工智能雙重能力的企業(yè),360在自研安全大模型的賦能下,將安全專家的能力和經(jīng)驗進行固化,并結(jié)合過去20年積累的海量樣本數(shù)據(jù)、情報能力以及終端安全上1200余項能力點,打造出終端安全智能體蜂群。
為有效應(yīng)對銀狐木馬威脅,360依托終端安全智能蜂群體賦能的云安全立體防護體系,構(gòu)建起涵蓋傳播攔截、行為監(jiān)測、深度清理的銀狐木馬全周期防御矩陣。
在木馬傳播的初始階段,該體系中的下載安全防護模塊已實現(xiàn)對主流通訊軟件的全鏈路覆蓋,可對通過釘釘、微信、QQ等渠道傳播的惡意文件進行實時檢測,在木馬落地前即完成自動查殺。
針對攻擊者精心設(shè)計的對抗手段,比如遭遇摻雜大量干擾文件的多文件攻擊,抑或是面對超大文件規(guī)避檢測的傳統(tǒng)伎倆,以及針對加密壓縮包和“配置型白利用”等新型攻擊方式,該體系皆可依托終端安全智能體蜂群賦能的智能分析系統(tǒng),將安全專家的分析經(jīng)驗匯集于模型之中,快速從各類掃描數(shù)據(jù)中找出符合以上攻擊特性的樣本,從而實現(xiàn)自動阻斷攔截。此外,還會對無法識別的可疑文件進行標(biāo)記,并持續(xù)監(jiān)測其后續(xù)行為。
對于傳輸過程中的漏網(wǎng)之魚,360主動防御系統(tǒng)會對用戶電腦提供強力保護。近期,銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點擊、WFP斷網(wǎng)、安全軟件驅(qū)動利用、Windows Defender策略濫用等,360主動防御對這些攻擊均能進行有效防御,并對發(fā)現(xiàn)的漏網(wǎng)之魚進行清剿。
在終端處置環(huán)節(jié),360云安全立體防護體系中的遠控·勒索急救模式展現(xiàn)強大應(yīng)急響應(yīng)能力。該模式可一鍵切斷攻擊者控制通道,為深度清理爭取寶貴時間窗口。此外,該體系不僅支持對各類驅(qū)動級木馬的清理、對被篡改的系統(tǒng)配置進行修復(fù),也支持對被銀狐木馬利用的合法管理軟件的智能檢測與卸載。
據(jù)360終端安全智能體蜂群監(jiān)測,近兩年被濫用于攻擊的合法軟件已達數(shù)十款,常見包括IPGUARD、陽途、固信、安在等,360終端安全智能體蜂群已支持對此類軟件的全面檢測與一鍵清理。
目前,360云安全立體防護體系已經(jīng)實現(xiàn)對銀狐木馬病毒的全面查殺,建議廣大政企機構(gòu)盡快部署。
為應(yīng)對日益嚴(yán)峻的銀狐木馬威脅,360數(shù)字安全集團基于二十年實戰(zhàn)攻防及持續(xù)一線對抗經(jīng)驗,首次獨家發(fā)布《銀狐木馬年度報告》,系統(tǒng)剖析其傳播態(tài)勢與技術(shù)演進。
報告披露,該木馬背后已聚集超過20個制作與免殺團伙,且仍有新團伙持續(xù)加入。僅過去一年間,該木馬已向國內(nèi)政企單位發(fā)起數(shù)萬起精準(zhǔn)攻擊,顯著加劇了政企機構(gòu)內(nèi)網(wǎng)安全防護難度,對關(guān)鍵基礎(chǔ)設(shè)施安全運營構(gòu)成嚴(yán)峻挑戰(zhàn)。
為此,報告還針對性提出體系化的防御方案,旨在有效構(gòu)建多維度應(yīng)對能力,切實提升對銀狐木馬威脅的抵御效能,為關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)筑起動態(tài)防護屏障。
攻擊策略由精轉(zhuǎn)廣
傳播量級持續(xù)攀升
傳播量級持續(xù)攀升
報告顯示,在過去的一年間,銀狐木馬在攻擊目標(biāo)、傳播范圍、獲利模式及對抗查殺等方面均呈現(xiàn)顯著演變,威脅態(tài)勢持續(xù)升級。
背后獲利鏈條呈現(xiàn)多元化、產(chǎn)業(yè)化特征:受控設(shè)備被轉(zhuǎn)賣為“跳板機”,竊取數(shù)據(jù)在暗網(wǎng)分類販賣,形成“惡意軟件即服務(wù)(MaaS)”模式,甚至為勒索軟件鋪墊攻擊,形成多維危害生態(tài)。
整體態(tài)勢呈現(xiàn)高頻迭代、傳播激增、變種暴漲特點:免殺版本分鐘級更新,單日數(shù)百次迭代;工作日日均查殺量超5萬次,高峰周傳播量破90萬次,單日攔截峰值超20萬次;年內(nèi)攔截釣魚站點逾1萬個,7月日均新增數(shù)百個,11月處置6000個境外站點;同期發(fā)現(xiàn)967個新變種,累計記錄近3萬種新免殺樣本,3-4月及9-10月尤為活躍。
此外,攻擊集中于境內(nèi),廣東、山東、江蘇受攻擊量居前三,與地區(qū)人口、經(jīng)濟及政企設(shè)備量相關(guān);攻擊時段呈現(xiàn)規(guī)律性高峰,每日10點及14-16點與目標(biāo)人群工作時間吻合,高峰期每秒數(shù)百臺設(shè)備受襲。為應(yīng)對該木馬威脅,360安全智能體2025年內(nèi)已更新超156項專項防護方案。
攻擊鏈產(chǎn)業(yè)化成型
技術(shù)體系持續(xù)演進
技術(shù)體系持續(xù)演進
銀狐木馬成為當(dāng)前最具威脅的惡意程序,關(guān)鍵在于其背后已形成分工明確、環(huán)節(jié)完整的產(chǎn)業(yè)化攻擊鏈,覆蓋傳播、潛伏、對抗、駐留、遠控直至獲利全過程,顯著提升了其生存能力與危害性,使得防御與追溯極為困難。
傳播方式上,其核心是借助微信、釘釘?shù)燃磿r通訊工具,利用已登錄賬號通過社交關(guān)系鏈快速擴散偽裝文件。其次,攻擊者還會搭建仿冒辦公及常用軟件的釣魚網(wǎng)站,并通過SEO或廣告提升搜索排名以誘導(dǎo)訪問。此外,木馬也利用釣魚郵件、常見Web應(yīng)用漏洞進行傳播,并在企業(yè)內(nèi)部通過竊取的社交關(guān)系實現(xiàn)橫向擴散,大幅增加防控難度。
潛伏策略上,銀狐木馬已從過去長達數(shù)周或數(shù)月的長期潛伏,轉(zhuǎn)向“短平快”模式:控制設(shè)備后通常在1至3天內(nèi)完成信息收集并迅速用于二次傳播或詐騙。這一變化主要源于安全廠商檢測效率的提升,迫使攻擊者縮短操作窗口以避免木馬被快速清除。
攻防對抗上,銀狐木馬綜合運用多種技術(shù):采用加殼、“白加黑”等免殺手法規(guī)避靜態(tài)檢測;濫用.NET框架機制、篡改WDAC策略等系統(tǒng)特性提升隱蔽性;通過模擬用戶操作、篡改安全配置等方式繞過動態(tài)防護;并濫用第三方合法驅(qū)動程序?qū)拱踩M程。這些持續(xù)演進的技術(shù)使其得以維持高威脅態(tài)勢。
駐留技術(shù)上,該木馬采用的手段包括濫用系統(tǒng)工具進行無文件駐留、部署合法遠程管理軟件建立隱蔽后門、利用計劃任務(wù)等服務(wù)實現(xiàn)自啟動、將ShellCode注入關(guān)鍵進程隱藏行蹤,以及通過劫持常用軟件組件或系統(tǒng)TypeLib實現(xiàn)隨合法程序激活。
遠程控制上,其方式呈現(xiàn)多樣化:既使用自研的Gh0st、WinOS等變種,也濫用AnyDesk等合法遠程工具,或直接購買商業(yè)遠控軟件,最隱蔽的是濫用IPGUARD、陽途等企業(yè)管理軟件“合法外衣”持久控制。近兩年,360發(fā)現(xiàn)數(shù)十款被濫用軟件,并推出檢測與一鍵清理方案,持續(xù)助力政企機構(gòu)有效應(yīng)對。
2025年中,360監(jiān)測到超20個活躍團伙,其中超六成在全年保持高度活躍。攻擊者呈現(xiàn)跨國分布特征,境外主要集中在東南亞地區(qū),占攻擊源的36.4%,越南尤為突出;境內(nèi)則以廣東和香港為主要聚集地。整體上,銀狐木馬團伙活躍度顯著上升,且與電詐從業(yè)人員關(guān)聯(lián)密切,威脅持續(xù)泛化與升級。
360終端安全智能體蜂群賦能
全面抵御銀狐木馬威脅
全面抵御銀狐木馬威脅
對于各類安全威脅,預(yù)防始終是應(yīng)對的第一道防線。針對銀狐木馬,最有效的預(yù)防在于用戶能夠主動識別常見釣魚信息,并嚴(yán)格遵守相關(guān)安全規(guī)范,從而顯著提高攻擊者的實施難度。360建議政企機構(gòu)保持高度警惕,并采取體系化、針對性的防護措施,筑牢安全屏障。
作為國內(nèi)唯一兼具數(shù)字安全和人工智能雙重能力的企業(yè),360在自研安全大模型的賦能下,將安全專家的能力和經(jīng)驗進行固化,并結(jié)合過去20年積累的海量樣本數(shù)據(jù)、情報能力以及終端安全上1200余項能力點,打造出終端安全智能體蜂群。
在木馬傳播的初始階段,該體系中的下載安全防護模塊已實現(xiàn)對主流通訊軟件的全鏈路覆蓋,可對通過釘釘、微信、QQ等渠道傳播的惡意文件進行實時檢測,在木馬落地前即完成自動查殺。
針對攻擊者精心設(shè)計的對抗手段,比如遭遇摻雜大量干擾文件的多文件攻擊,抑或是面對超大文件規(guī)避檢測的傳統(tǒng)伎倆,以及針對加密壓縮包和“配置型白利用”等新型攻擊方式,該體系皆可依托終端安全智能體蜂群賦能的智能分析系統(tǒng),將安全專家的分析經(jīng)驗匯集于模型之中,快速從各類掃描數(shù)據(jù)中找出符合以上攻擊特性的樣本,從而實現(xiàn)自動阻斷攔截。此外,還會對無法識別的可疑文件進行標(biāo)記,并持續(xù)監(jiān)測其后續(xù)行為。
對于傳輸過程中的漏網(wǎng)之魚,360主動防御系統(tǒng)會對用戶電腦提供強力保護。近期,銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點擊、WFP斷網(wǎng)、安全軟件驅(qū)動利用、Windows Defender策略濫用等,360主動防御對這些攻擊均能進行有效防御,并對發(fā)現(xiàn)的漏網(wǎng)之魚進行清剿。
在終端處置環(huán)節(jié),360云安全立體防護體系中的遠控·勒索急救模式展現(xiàn)強大應(yīng)急響應(yīng)能力。該模式可一鍵切斷攻擊者控制通道,為深度清理爭取寶貴時間窗口。此外,該體系不僅支持對各類驅(qū)動級木馬的清理、對被篡改的系統(tǒng)配置進行修復(fù),也支持對被銀狐木馬利用的合法管理軟件的智能檢測與卸載。
據(jù)360終端安全智能體蜂群監(jiān)測,近兩年被濫用于攻擊的合法軟件已達數(shù)十款,常見包括IPGUARD、陽途、固信、安在等,360終端安全智能體蜂群已支持對此類軟件的全面檢測與一鍵清理。