“银狐” 自曝光以来，便以其极强的隐蔽性著称，对网络安全带来了重大威胁。其早期主要通过邮件和IM钓鱼传播，以窃取用户数据为主要目标。但从2024年底至今，“银狐”新变种在潜伏策略和社会工程学攻击上都有了显著升级。从近期的多起受害案例可见，“银狐”恶意软件开始进行大规模诈骗钱财的活动，有不少受害者遭受了直接的金钱损失。

近期，某企业内部突发了一次大规模的“钓鱼”事件，经溯源后确认为“银狐”恶意软件的最新变种导致。此事件源于数周前，该企业内部的财务人员因在非官方网站下载了一款软件，导致办公电脑被植入木马病毒。攻击者利用木马对该员工电脑进行了长达数周的潜伏，在掌握其工作习惯和IM软件登录状态后，趁午休时段通过植入的恶意程序，借其身份建立企业内部通讯群组并发布虚假通知，诱导多名员工扫码企图实施诈骗。

深信服终端安全团队结合近期几十起攻击案例中的样本发现，“银狐”在“免杀”对抗中大量使用了以下攻击技术：

1、数字签名伪装：利用合法身份绕过检测

2、文件“增肥”战术：利用文件大小机制躲避扫描

3、借用合法工具：通过“白名单”软件实施攻击

4、内存和行为对抗持续升级

样本分析：银狐的免杀手法及深信服aES应对之法

对于这些“免杀”技术，我们是否只能被动挨打？不用怕！接下来将深入分析目前常见的样本是怎么工作的，同时看看防守方能采取什么技术来进行有效查杀。

下面是一个银狐木马用于侧加载的dll文件，可以看到，同一个文件可以关联到大量的执行母体，这些母体程序看似互不相同，检出这些文件的厂商数量也参差不齐，但其实这些程序本质上都是一样的，因为执行起来后都会释放同一套白加黑的远控木马。

“银狐”团伙批量生产大量不同的加载器，里面包含大量无用代码，或者是掏空正常程序的一部分填入加载器代码，这类加载器代码通常内容并不多。代码量越少就意味着特征越少，而特征越少就意味着更容易变化进行免杀，将这类加载器藏在一些并不起眼的地方，混合大量的正常代码，就可以免杀较多的静态查杀引擎。

那这种方式就无懈可击了吗？当然不是！这类样本通常只是静态免杀能力强，但真正运行起来后就会显露出大量的恶意行为。aES可以联动云端能力，对样本文件进行二次鉴定，通过动态分析等多种方式，多维度完成样本鉴定，最终让这些免杀样本显形。如果遇到可疑的文件，可将文件上传至云沙箱进行二次鉴定。

下面再以一个典型样本为例，简单看一下病毒从点击执行到远控上线的全流程。

该样本为一个MSI格式的安装包，里面捆绑了一个正常软件的安装包和一个木马加载器，在安装过程中会执行起木马加载器。

行为就是执行文件中的shellcode，如果读取不到文件则从云端下载并保存。

动态加载的shellcode内容仅数十字节，主要用于解密出后一阶段的PE加载器代码和一个PE文件。

PE加载器主要的目的是解析PE结构，实现在内存中动态加载PE。

最终加载出的PE文件就是一个gh0st木马变种，通过线程调用堆栈定位内存模块，可以快速找到大量恶意代码和特征，而此前多阶段的载荷隐匿技术均是为最终加载远控模块做铺垫的。

从这个流程中可以看到，“银狐”团伙将真正的远控模块藏得很深，多层嵌套并组合不同的手法进行攻击，远控木马往往只在最后一步进行加载。无论此前步骤中如何免杀，病毒最终的远控模块都需要在内存中进行加载和执行，aES内存检测技术针对各类远控木马的特性，精准检测内存中驻留的后门，然后清除内存木马相关的进程、线程、启动项以及文件等。

如何更好地防范“银狐”病毒？

“银狐”木马在利益驱使下衍生了快速变种能力，通过hash或者文件特征方式很难完全阻止0号样本落地运行。不过，“银狐”木马所使用的内存驻留项，开发成本更高，特征更不易变。这就要求终端安全厂商持续运营、快速响应，持续更新覆盖hash、文件特征、内存特征、特定行为等维度的规则来查杀新变种，并清除残留木马。

为应对“银狐”变种的复杂攻击，建议可以通过优化终端安全配置、提升日常安全意识等，构建起多重坚固的防护体系。

终端安全配置层面：

1、及时更新病毒库规则。

2、针对可疑中招的终端进行定期扫描。

3、针对明确中招的终端，通过专杀工具及时排查。

安全意识层面：

1、建立"三不原则"：不轻信群发通知、不点击陌生链接、不转发未验证文件。

2、警惕IM中非工作时段发送的消息。

3、在长时间不使用电脑（如：下班后）的情况下请关机或休眠。

“银狐”病毒的应对之法

【深信服云网端安全解决方案】

以AI加持，为安全效果而生，云地协同、联动闭环，云端安全专家7*24小时守护并及时发现、研判、响应事件，为安全事件做全流程的响应和兜底。云网端安全解决方案以简单、有效、可生长的价值，保障客户业务连续性，提供可承诺可兜底的安全效果。方案基于用户现有的建设基础，体系化规划网络安全建设。目前，深信服云网端安全解决方案可抵御银狐木马威胁。

【银狐病毒查杀工具】

深信服终端安全团队升级了银狐查杀补丁包，并免费开放银狐专杀工具，以助力广大用户应对银狐病毒的攻击。

1、如果您是深信服用户，针对近期系列银狐木马事件，深信服终端产品大幅提升了银狐查杀能力，请将【深信服统一端点安全管理系统aES】升级到 6.0.2 R2 版本。如果平台能够联网到深信服云图，可直接在线更新补丁包，如果无法联网到深信服云图，请联系深信服400售后（电话：400-630-6430）获取离线补丁包。

2、如果您不是深信服的用户，也不用担心，深信服的【银狐专杀工具】支持对最新银狐木马的查杀，扫描下方二维码添加官方企微，即可免费获取专杀工具的下载链接。