“银狐”是什么?
- “银狐”是一种被广泛传播、变种快速更新的黑产工具,被众多黑产团伙用于实施网络攻击、诈骗等恶意活动。
- “银狐”最早出现于2022年,由于其最初被发现是在金融行业中,同时免杀手法精妙,如狐狸般狡猾,因此微步情报局取代表金融机构的“银”和代表精妙手法的“狐”将此团伙命名为“银狐”。了解详情
- 经过两年多不间断的传播和技术迭代,“银狐”早已超脱了单一黑产团伙的掌控,发展成了一款被大量黑产团伙使用的恶意工具,出现海量变种,在攻击方式、组件部署、样本投递等方面持续变化,利用白加黑、加密payload、内存加载等免杀手段逃避检测,给网络安全带来极大威胁。了解详情
- “银狐”的攻击对象涉及全行业,既包括企业,也包括个人。其黑产体系复杂,存在多层上下游,形成完善的黑色产业链。
“银狐”的主要危害有哪些?
经济损失
- 诱导受害者扫码、转账,造成直接经济损失;
- 控制受害者电脑,窃取虚拟货币钱包、浏览器信息等,导致财产失窃;
- 冒充领导要求公司财务人员紧急进行大额转账,使企业遭受严重损失。
信息泄露
- 通过驻留木马实现截屏、录屏、监控等,“观察”公司财务转账及内部交流情况,窃取敏感信息;
- 控制受害者社交账户或邮箱,模拟受害者行为在公司内传播木马,寻找更多高价值受害者,进一步扩大信息泄露范围。
引发大范围可见的安全事件
- 利用企业内部通讯软件大规模拉群,群发木马文件、有害链接或电诈二维码,导致大量员工电脑被控制,引发广泛的安全事件;
- 感染反复且难以清理,即便清除一次,也可能因失陷资产被转卖而使企业反复遭到攻击,影响企业正常运营。
持久失陷,后患无穷
- 部分受控账号和终端被用作“跳板”,参与更大范围的网络攻击活动,对更多企业和个人造成威胁,严重破坏网络安全环境。
“银狐”的主要伪装形式有哪些?
制作钓鱼网站模板,将恶意软件伪装成网页加载器、可下载文件等,通过搜索引擎优化提升排名,吸引用户点击下载运行,触发“银狐”。
伪装成税务局对受害者公司邮箱发送主题为“税务稽查”等邮件,内容为伪装成图片的带毒附件,受害者多为企业财务、行政、人事。
在IM或企业IM拉群发通知、公函等压缩包或电诈二维码;伪装成公司通知、有关部门公函等,常见形式有压缩包文件、电诈二维码、网页、pdf、html格式的虚假公告等;控制受害者电脑后,通过企业通讯工具给其他员工拉群添加日程,附件压缩包中含“银狐”木马,并开启“全员禁言”,排除安全团队,扩大传播范围。
伪装成热门软件(如DeepSeek本地部署工具)、翻译工具(如显示检测Flash版本过低的假翻译网站)、货币转换器等。
如税务局稽查局的税务抽查通知、个人所得税减免通知等,在个人微信群内被传播,诱导受害者下载木马。
“银狐”应对思路与方案
培养办公网安全运营能力
- 引入专业办公网运营人才,或使用厂商的托管服务
- 运营流程中,对办公失陷进行有效分类分级,如僵木蠕、黑产、APT,设定运营规范
- 组建应急响应团队,及时应对,如果人力不够,也可以提前构建虚拟团队
在实战的同时,开展安全意识培训
- 条件允许时,结合每次意外点击,每次被控,每次被拉群,在失陷当场对受害人员进行充分的安全意识培训
- 让企业安全团队和员工都意识到,"人"将是未来最大的突破口,需要持续提高安全意识
引入新技术增强办公网威胁发现
- 在流量加密、域前置等手法被广泛应用的当下,流量检测产品无法解决所有新型高级威胁,企业应当在终端侧提升检测响应能力,引入EDR技术增强办公网威胁发现能力
- 选型EDR时,应重点考察日志采集全面性和分析溯源的彻底性,警惕由杀毒的简单行为分析包装成EDR的终端安全产品
- 引入EDR后,应当重新调整杀毒策略和流量侧告警的运营机制,降低终端压力的同时形成良好联动,并提高安全运营效率
集团性质企业的运营下放
- 集团性质企业要有效区分信息公司和子公司的运营分工,检测、处置闭环要进行合理分工和有效闭环
- 管理动作和考核上形成有效联动,紧贴实战需求
- 终端产品安装覆盖度是要持续检测和考核的内容
持续收紧办公终端权限,建立严格终端管控机制
- 统一建设软件仓库和软件管理机制
- 必要时,可考虑上收管理员权限
防范“银狐”的方案及产品
常见误区及原理解答
"银狐"的免杀能力极强,而且变种出现极快,杀软依靠特征库的性质决定了其永远无法跟上最新的"银狐"变种;而且"银狐"的攻击链条长,隐蔽性强,即使查杀了恶意进程主体,也无法100%清除其关联的注册表启动项、计划任务等,造成"银狐"反复启动,死灰复燃。
出现"银狐"告警意味着企业IT环境中已经有机器失陷,目前微步观测到,"银狐"最快的攻击速度是1小时内发起拉群,比较常见的潜伏期在几天至十几天不等。当前没有出事,不意味着"银狐"不会攻击,发生大规模拉群事件只是时间早晚的问题。
"银狐"变种传播范围极其广泛,遍布全行业,而且"银狐"的攻击对象不仅仅是企业,还包括个人,甚至通过微信群传播控制个人PC后,利用个人PC上的企业IM发起二段攻击,基于企业IM进行大范围拉群。只把"银狐"认为是针对特定行业的攻击,是一种侥幸心理,在制定防范策略时,需要假定"银狐"一定会攻击成功,再进行机制、人员、安全产品的优化和调配。
"银狐"经过2年多的传播和迭代,已经变成了当前黑产团伙远控的标配工具,早已不限于单个团伙或行业,溯源可以抓到具体的犯罪嫌疑人,却无法阻止"银狐"持续传播和迭代,企业仍需解决终端上的钓鱼、窃密、大规模拉群等风险。
"银狐"攻击链条长,免杀能力强,能够有效绕过杀毒软件的查杀,当企业发现流量检测设备上有"银狐"告警时,使用杀毒软件进行扫描,很可能扫描不出任何结果。
"银狐"攻击成功后,会控制受害者的个人终端,如果仅仅限制IM的发文件功能,"银狐"还会拉群发送链接、有害二维码图片,或者日程任务等一切可以带附件的通知,令企业防不胜防。
"银狐"变种多,迭代速度快,网上发出的样本往往具有滞后性,杀毒软件只能查杀已经收录进特征库的恶意样本,对"银狐"较新的变种则束手无策。
"银狐"操纵者为了降低被公安机关追查的可能性,单人诈骗金额往往在数千元左右,为了让一次攻击能最大化获利,"银狐"会将企业组织架构下面的所有联系人都拉入群聊,进行批量诈骗,高阶的"银狐"操纵者甚至会根据企业组织架构跳过安全部门。企业安全团队要面临的后果不是单个员工被诈骗所引发的投诉,而是企业IM大范围拉群引发的恐慌,以及对企业安全防护能力的质疑。
在流量加密、域前置等手法被广泛应用的当下,防火墙也无法保证能对"银狐"进行有效拦截。此外,当网络中存在"银狐"的恶意反连时,意味着仍然有防守的薄弱环节没有被企业安全团队发现,仅用防火墙拦住恶意反连,无法从根本上解决办公网的安全隐患。
防范“银狐”安全意识教育科普资料下载
立即体验
微步安全产品及服务
服务热线
微信公众号
