企业动态

    近年来，随着数字化转型加速，网络已经深度融入社会各层面，在极大地促进了信息交流与经济发展的同时，也滋生了大量网络犯罪活动，近期全国各省发现多起“银狐”木马病毒攻击政务网络事件，为网络安全防护带来了严峻挑战。

    “银狐”木马隐蔽性强，亟需新型防范措施

    2022年奇安信率先发现“银狐”家族木马，经专业团队分析，“银狐”木马，是专门针对我国党政机关、政府部门以及企事业单位等重要行业进行攻击的恶意程序；该木马通过钓鱼邮件、木马程序捆绑、系统漏洞等方式传播，具有隐蔽性强、横向渗透、数据窃取等高危特性。

    具体传播路径及特性如下所示：

    1、通过互联网搜索引擎二次打包常用办公软件、钓鱼邮件进行传播，传播范围广，数量大，对个人与党政机关电子政务外网等进行无差别攻击。

    2、社工钓鱼手段升级，“银狐”木马利用企业IM（浙政钉/微信/钉钉）伪造领导或财务人员身份发起钓鱼。

    3、钓鱼方式多样，高度伪装。钓鱼信息以伪造官方通知、时事热点（如虚假财务与税务信息、放假通知）等主题的钓鱼网页，再通过企业内部IM群传播病毒下载链接。

    4、钓鱼样本攻击技术变化快，规模大、持续时间久。恶意C2（域名、IP）等基础设施更新频次高，恶意样本变种快、攻击手法迭代频繁，影响企业数量极多。

    5、难以发现与处理。“银狐”木马每个新变种在免杀对抗、绕过防御和持久化驻留技术上有极大提升，大多采用白利用（白+黑技术），伪装或劫持合法计划任务等方式，绕过安全软件的监控，常规检测手段很难追溯到威胁根因，就算溯源到了，彻底清理也非常难。

    银狐木马在攻击不同阶段常见的攻击手法

    某客户被钓鱼后半小时创建多个IM群，进群人数高达700余人

    奇安信安全专家建议，应从以下几个方面进行防范：

    1、正确安装与使用奇安信天擎企业版防病毒软件；

    2、开启病毒库在线升级和云查杀功能，时刻保持病毒库是最新状态；

    3、及时打补丁与更新软件，有效防范操作系统与软件漏洞；

    4、不要随意点击邮件和IM（浙政钉/微信/钉钉）中来路不明的网址链接、二维码、附件；

    5、不要从非官方渠道下载软件，不要打开来源不明的压缩包与可执行文件，避免电脑中毒；

    6、不要随意泄露个人隐私信息，在填写身份证号、银行卡号等信息时，要对目标网站进行核实；

    7、不要轻信非官方渠道的所谓“财税”、“补贴”、“通知”等信息，涉及财务转账等操作，务必电话沟通核实等。

    构建“静态查杀+动态行为检测+威胁情报”的体系化防御能力，对抗银狐木马的多阶段攻击

    “银狐”家族木马在攻击样本中大量采用了APT组织惯用的高级攻击技术，包括但不限于：多阶段的恶意模块投递（实现分段式攻击）、无文件攻击技术（通过反射加载等内存执行方式规避传统杀毒软件的静态检测）、白加黑利用（通过合法数字签名程序加载恶意DLL的白加黑技术）、伪造数字证书以及BYOVD攻击（利用漏洞驱动破坏安全软件功能）等。这些技术的组合运用使得该木马能够有效突破传统终端防护的检测盲区，实现持久化驻留和高隐蔽攻击，这也是“银狐”木马持续肆虐的重要原因。针对此类高级威胁，用户需要构建“多维度纵深防御体系”：基于机器学习的静态特征检测（应对已知变种）、动态行为监控（捕捉进程异常行为与内存攻击行为）、云端威胁情报联动（快速响应新型攻击TTPs），同时结合溯源分析能力，才能有效阻断银狐木马完整生命周期的攻击链条。

    奇安信天擎集成了自主研发的多款查杀引擎，可持续对终端文件实时监控和扫描。依托奇安信天擎云安全体系实现对“银狐”的样本快速发现，配合天擎“六合”高级威胁防御引擎，奇安信天擎能够有效对抗“银狐”样本执行过程中使用的白利用（白加黑）内存攻击技术（内存加载执行）、外连C2等恶意行为。

    天擎对“银狐”木马的拦截

    截止至2024年，根据最新报告，奇安信天擎终端安全管理系统已连续7年保持IDC国内终端安全市场占有率第一。其产品覆盖党政、金融、能源等关键行业，共防护超6000万终端设备。

    面对“银狐”木马快速迭代的攻击手段与日益复杂的网络威胁环境，传统安全防护已显得力不从心。面对这一严峻形势，通过奇安信天擎构建的体系化防御策略，可有效防御“银狐”木马的持续性攻击，保障企业安全。