香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

假安全,真木馬!銀狐以查殺工具之名發(fā)起釣魚攻擊

  • 2025-06-25 11:30:35

銀狐木馬概述

近一年,銀狐木馬傳播勢頭居高不下,傳播手段也是花樣百出,儼然已經(jīng)成為近期國內(nèi)最為活躍的木馬團(tuán)伙之一。進(jìn)入6月以來,其傳播態(tài)勢進(jìn)一步抬頭。360安全大腦在其傳播高峰期的數(shù)據(jù)顯示,曾出現(xiàn)過日均攔截近10萬次木馬傳播的記錄,并曾單日處理銀狐近200種各類免殺變種的情況同時,用于傳播的釣魚攻擊手段也在不斷更新,近期更是出現(xiàn)“防范銀狐木馬”“職人員違規(guī)亂吃喝處罰名單自查”為文件名的釣魚攻擊,堪稱“反向操作”大師,令人防不勝防。

當(dāng)前版本銀狐木馬的一般攻擊流程示意圖如下:

?

1. 當(dāng)前版本銀狐木馬典型攻擊流程示意圖?

360快速阻斷木馬傳播

面對快速傳播而又更新頻繁的木馬,360安全大腦利用云安全立體防護(hù)體系,進(jìn)行了多維度多技術(shù)手段有效阻擊。

銀狐木馬傳播遇到的第一道防線便是360下載安全防護(hù)。360下載安全支持釘釘、微信、QQ等各類銀狐木馬傳播中利用的通訊軟件,實(shí)現(xiàn)處于傳播初期階段的木馬第一時間進(jìn)行自動查殺。

?

2. 360攔截銀狐木馬下載?

面對360的防御,攻擊者也在攻擊手段上使出了渾身解數(shù)。我們總結(jié)了銀狐木馬團(tuán)伙最近使用到的攻擊手段主要有如下幾類:

l多文件攻擊
攻擊者在發(fā)送的木馬壓縮包中摻入大量正常、無關(guān)文件,試圖以此來擾亂安全軟件的視線。安全軟件在對壓縮包進(jìn)行檢查時,需要解壓其中的文件才能進(jìn)行有效掃描攻擊者用這種方式試圖來增加安全軟件的解壓分析失敗率。

l大文件攻擊
這是一類歷史比較久遠(yuǎn)的攻擊方式。攻擊者此類方式阻止安全軟件對樣本的采樣收集,試圖延長自身的生存周期。

l加密壓縮包攻擊
攻擊者可能使用帶密碼的壓縮包來傳遞木馬。如果用戶未能向安全軟件提供解壓密碼,則會直接影響安全軟件的安全分析能力。

l配置型白利用攻擊
某些正常軟件的行為配置文件在一定范圍內(nèi)進(jìn)行更改和指定。攻擊者利用這類文件發(fā)起攻擊時,安全軟件如果僅檢查可執(zhí)行文件的安全性,可能無法有效識別存在于配置文件中的潛在風(fēng)險(xiǎn)。

面對以上種種攻擊形式,我們依托大模型輔助的智能分析系統(tǒng),將安全專家的分析經(jīng)驗(yàn)匯集于模型之中,快速從各類掃描數(shù)據(jù)中找出符合以上攻擊特性的樣本,對其實(shí)施自動阻斷攔截。此外,還會對無法識別的可疑文件進(jìn)行標(biāo)記,監(jiān)控其后續(xù)行為。

對于傳輸過程中的漏網(wǎng)之魚,360主動防御系統(tǒng)會對用戶電腦提供強(qiáng)力保護(hù)。近期,銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點(diǎn)擊、WFP斷網(wǎng)、安全軟件驅(qū)動利用、Windows?Defender策略濫用等。360主動防御在對抗中不斷成長,對這些攻擊均能進(jìn)行有效防御,并對發(fā)現(xiàn)的漏網(wǎng)之魚進(jìn)行清剿。

?

3. 360攔截銀狐木馬釋放惡意驅(qū)動

360智能查殺能力

僅僅能防御病毒還不夠,360還要對已經(jīng)中招的設(shè)備進(jìn)行查殺清理。

我們在2023年就推出了遠(yuǎn)控·勒索急救模式。對于已經(jīng)中招的設(shè)備,360可以一鍵阻斷攻擊者對電腦的控制,為后續(xù)木馬的清理提供寶貴的時間。

?

4. 360遠(yuǎn)控·勒索急救模式

對頑固木馬的清理,360支持對各類驅(qū)動級木馬的清理、對被篡改的系統(tǒng)配置進(jìn)行修復(fù)。依托這些能力,我們能夠徹底清除銀狐木馬對系統(tǒng)的破壞。同時,我們還支持了對被銀狐木馬利用的IPGuard、安在管理軟件、陽途管理軟件等軟件的智能卸載目前,我們可以自信地說,360是國內(nèi)清理能力最為全面的安全軟件。

樣本分析

當(dāng)前,銀狐木馬實(shí)際上是一大類釣魚遠(yuǎn)控木馬的總稱目前流行的銀狐木馬旗下,包含有多個不同制作團(tuán)隊(duì)和傳播團(tuán)伙開發(fā)的多木馬。對木馬進(jìn)行溯源可以發(fā)現(xiàn),其參與成員多數(shù)位于東南亞地區(qū),此外也有部分國內(nèi)灰黑產(chǎn)成員參與。他們利用Telegram網(wǎng)絡(luò)組織進(jìn)行聯(lián)系,不同團(tuán)伙間有較為顯著的技術(shù)差異,但同時也保持著較為頻繁技術(shù)交流。

下面,我們選取了近期較為典型的一個活躍樣本進(jìn)行分析說明。樣本壓縮包的文件名及其內(nèi)部文件組成為

最新查殺防護(hù)Killingtools6V-069-VN.zip

123.txt

最新查殺防護(hù)Killingtools6V-069-VN.exe

壓縮包中的文件及“123.txt”的文件內(nèi)容如下圖:

?

5. 壓縮包中的文件及文本內(nèi)容

木馬安裝

該木馬首次運(yùn)行的時候會判斷當(dāng)前進(jìn)程名是不是svchost.exe、winlogon.exe、vds.exe、vssvc.exe、explorer.exe。如果不是則通過查找vss服務(wù)啟動vssvc.exe進(jìn)程,再通過線程池方式注入vssvc.exe進(jìn)程當(dāng)中,實(shí)現(xiàn)木馬的隱藏運(yùn)行。

?

6. 木馬通過線程池注入手段注入vssvc.exe進(jìn)程中

在木馬注入完成后,會遍歷進(jìn)程查詢是否有ZhuDongFangYu.exe和360tray.exe進(jìn)程。如果存在的話則會斷開網(wǎng)絡(luò)。

?

7. 木馬發(fā)現(xiàn)360后便會斷開網(wǎng)絡(luò)?

然后,木馬會在系統(tǒng)驅(qū)動目錄下(通常為C:\Windows\system32\drivers)釋放被利用的第三方驅(qū)動,并通過SCM注冊驅(qū)動服務(wù),最后啟動該服務(wù)。

?

8. 將釋放的驅(qū)動注冊為服務(wù)并啟動?

木馬通過這個釋放出的驅(qū)動來關(guān)閉ZhuDongFangYu.exe和360tray.exe,成功后再恢復(fù)網(wǎng)絡(luò)。

完成對安全軟件的截殺后,銀狐會釋放一階段木馬,釋放的木馬主體路徑如下:

C:\Program Files\Internet Explorer\nvsc.exe

此外還會釋放木馬加載程序glbdll.dll,以及加密數(shù)據(jù)文件glbdll.bin。最終通過COM方式添加計(jì)劃任務(wù)。

?

9. 木馬添加計(jì)劃任務(wù)?

木馬執(zhí)行

最后,木馬會加載核心的遠(yuǎn)控木馬。該遠(yuǎn)控木馬具備常規(guī)的遠(yuǎn)控功能,如獲取主機(jī)信息、截屏、鍵盤記錄等功能。

?

10. 加載遠(yuǎn)控木馬?

遠(yuǎn)控木馬獲取剪貼板內(nèi)容后,會把其內(nèi)容寫入到key文件中:

C:\Program Files\Internet Explorer\temp.key

遠(yuǎn)控木馬上線C2的IP地址為13.230.98.233。在木馬在上線前,會大量解析訪問正常站點(diǎn),以此來躲避一些網(wǎng)絡(luò)防護(hù)監(jiān)控的監(jiān)測。

?

11. 木馬獲取剪切板內(nèi)容?

完成一階段木馬安裝后,攻擊者會手動下發(fā)二階段木馬安裝包并手動運(yùn)行安裝,實(shí)現(xiàn)對被攻擊設(shè)備的長期控制。

發(fā)起電詐攻擊

在完成二階段遠(yuǎn)控的安裝后,攻擊者還會利用用戶不在電腦前的時機(jī)再次快速向用戶的好友傳播木馬,并嘗試發(fā)起電詐攻擊。

當(dāng)前,銀狐木馬會利用被害者電腦中的微信、釘釘群,發(fā)下圖中的釣魚文檔,誘導(dǎo)其他用戶支付寶掃碼。

?

12. 攻擊者通過電詐攻擊發(fā)送的釣魚文檔?

而其二維碼中對應(yīng)的內(nèi)容通常是一個釣魚網(wǎng)站,比如,對上圖中的二維碼進(jìn)行解碼,可以看到鏈接內(nèi)容如下圖:

?

13. 對釣魚文檔中的二維碼進(jìn)行解碼分析

此外,也有類似下面的釣魚鏈接。兩者的共同特點(diǎn)是利用支付寶的功能頁面跳轉(zhuǎn),偽裝其釣魚鏈接,使用戶更難發(fā)現(xiàn)其釣魚攻擊,而且其最終釣魚落地頁面,也是被掛馬的正常網(wǎng)站。

?

14. 另一些二維碼中的掛馬站點(diǎn)連接

如果用戶掃描其釣魚二維碼,就會看到類似于如下頁面的釣魚網(wǎng)頁。攻擊者會在站點(diǎn)中進(jìn)一步騙取用戶的個人信息、銀行賬戶信息,最終誘導(dǎo)用戶實(shí)施轉(zhuǎn)賬支付,騙取用戶金融資產(chǎn)。

?

15. 最終呈現(xiàn)在用戶面前的釣魚頁面?

攔截防護(hù)

360安全大腦可攔截并查殺此類木馬,已安裝有360終端安全產(chǎn)品的用戶不必太過擔(dān)心。

?

16. 360安全大腦有效攔截上述分析的銀狐木馬

安全建議

l強(qiáng)化終端防護(hù)
在企業(yè)內(nèi)部設(shè)備中部署安全軟件,開啟實(shí)時監(jiān)控與自動更新,若安全軟件異常退出,應(yīng)立即斷網(wǎng)查殺。

l嚴(yán)控文件風(fēng)險(xiǎn)
對不明壓縮包及可執(zhí)行文件,堅(jiān)持不解壓、不運(yùn)行、不輕信。有條件的情況下,應(yīng)將可疑文件上傳至可信的安全分析平臺進(jìn)行檢測和上報(bào)。

l警惕釣魚信息
收到含“財(cái)稅”“自查”甚至是此次傳播中出現(xiàn)的“防范木馬”等敏感關(guān)鍵詞的通知文件,務(wù)必通過官網(wǎng)、官方APP或電話等方式進(jìn)行二次核實(shí),勿直接點(diǎn)擊鏈接或下載附件。

l規(guī)范軟件下載
各類辦公軟件或工具軟件應(yīng)從官網(wǎng)或企業(yè)內(nèi)部平臺獲取,并檢查數(shù)字簽名。來自網(wǎng)盤或通信軟件中的文件下載后,要先經(jīng)安全軟件掃描。

l及時應(yīng)急處理
發(fā)現(xiàn)系統(tǒng)異常占用、賬號異地登錄等風(fēng)險(xiǎn)征兆,應(yīng)盡快使用360等安全產(chǎn)品進(jìn)行全面掃描,必要時重裝系統(tǒng)。

l行業(yè)重點(diǎn)防護(hù)
如財(cái)稅或涉密等重點(diǎn)、敏感崗位,在業(yè)務(wù)高峰期執(zhí)行文件應(yīng)雙人復(fù)核,避免在公網(wǎng)環(huán)境中處理敏感數(shù)據(jù)。企業(yè)應(yīng)通過EDR、EPP等安全系統(tǒng),對惡意軟件的運(yùn)行及通信進(jìn)行全方位告警和攔截。

360安全衛(wèi)士

熱點(diǎn)排行

用戶
反饋 返回
頂部