随着数字化进程的加速，网络已经深度融入社会各层面，在极大地促进了信息交流与经济发展的同时，也滋生了大量网络犯罪活动，为网络安全领域带来了严峻挑战。自2021年起，“银狐”团伙在网络世界中悄然崛起。作为活跃在黑色产业链中的犯罪团伙，其制作的“银狐”木马病毒不断演变升级，凭借高度一致的技术手段与攻击策略，对企业和个人造成持续性威胁。本文将梳理“银狐”木马的迭代过程和传播方式，并进行溯源分析，期望大家能够深入了解此类病毒，提高警惕，防止遭受攻击。

银狐团伙的黑色产业链广泛渗透至金融、诈骗、政府机构及多个行业领域。从2021年直至2024年12月，“银狐”木马活动显著增多，且始终保持相当高的活跃度。起初，“银狐”组织将目标锁定在企业与机构中的关键岗位人员，如管理层、财务部门、销售团队以及电子商务从业者，通过定向钓鱼攻击获取敏感信息。随着时间的推移，银狐病毒高效的攻击模式与成功的示范效应逐渐引起其他网络犯罪分子的关注，他们开始模仿其攻击手段并进行传播，导致全球范围内类似攻击事件频发。不同于传统钓鱼木马攻击，“银狐”木马采用更为隐蔽的多级白进程劫持技术进行搭载。如今，不仅企业和机构深受其害，普通网民也面临着日益严峻的安全威胁。

银狐事件曲线

源代码对比图

Win0s 功能图

1. 群聊传播木马：控制电脑屏幕将恶意木马文件转发至群聊，诱导群成员点击下载。一旦木马被运行，更多设备可能被感染，之后，迅速退出群聊以降低被发现的风险。

2. 冒充上级实施诈骗：控制领导社交账号或管理人员，单独创建新群，假借紧急事务或企业内部需求，诱骗财务人员转账或泄露敏感信息。

IP-Guard 群聊传播

群聊二次传播

控制社交平台诈骗

Ping32 功能图

1.定向政企财务钓鱼邮件

• 邮件伪装：通过伪装成看似合法的发件人身份（如供应商、合作伙伴或客户）发送含有恶意附件或链接的邮件。这些附件通常以PDF、Word、Excel等常见文档格式出现，并会利用社会工程手段诱使受害者将其打开。

• 宏代码攻击：如果附件是Office文件，则常常嵌入有恶意宏代码。一旦启用宏功能，这些恶意脚本就会被执行，进而下载和安装木马程序。

钓鱼邮件

2.伪造应用下载网页并推广

• 假冒合法应用：创建高仿的应用下载页面，伪装为热门工具、游戏或办公软件，诱骗受害者下载含有木马的应用程序。

• 搜索引擎广告投放：通过购买广告位或优化搜索引擎排名，使伪造页面出现在搜索结果前列，从而提高受害者下载恶意程序的概率。

钓鱼网页

3.网页挂马

• 水坑攻击：在政企人员频繁访问的网站或论坛中植入恶意代码，受害者一旦访问，浏览器会自动下载并执行木马程序。

• 广告劫持：利用恶意广告注入技术，在正常网页的广告弹窗分发木马。

4.色情信息诱导

• 诱导下载：利用伪装成色情视频、图片等资源的链接和附件，引诱受害者下载恶意文件。

• 钓鱼网站：搭建钓鱼网站并将其伪装成色情网站，受害者在访问或尝试下载内容时会被植入木马。

色情引诱

5.游戏资源传播

• 盗版游戏私服：通过私服游戏客户端或外挂工具捆绑木马程序，吸引受害者下载。

• 论坛分享：在游戏论坛或社群中发布伪装成游戏补丁、福利资源的木马程序，诱导受害者下载。

游戏私服

6.常见web Nday漏洞

• 已知漏洞攻击：利用受害者使用的网站中常见的Nday漏洞（如Struts2、Log4j、WebLogic等）直接植入木马，入侵受害者系统。

• 工具化攻击：借助自动化漏洞扫描工具批量检测受害者系统，并在漏洞存在时植入恶意程序。

• 键盘和鼠标劫持：通过木马获取受害者设备的控制权限，利用受害者的社交软件（如微信、企业微信、Telegram）向其联系人群发恶意链接或文件，达到木马传播的目的。

• 信任链攻击：伪装为受害者本人发送的消息，增强恶意链接的可信度，从而扩散木马传播。

社交平台传播

8.供应链

• 软件更新劫持：通过入侵第三方软件库，篡改其中的更新包或安装包，将木马伪装为合法软件的部分功能，借助供应链传播至受害者系统。

• 外包或合作渠道渗透：利用受感染的外包服务商或合作伙伴的程序或系统，以共享文件或系统集成为媒介传播木马。

Github投毒事件

• 单文件加载器：释放白加黑文件

• 白加黑实现权限维持

• 执行后门模块

而木马在各个阶段的攻击手法，也随着时间的推移在不断演变。其中，加载器的种类日趋多样，从最初的.exe文件发展到如今的.chm、.bat、.vbs、.msi等格式。同时，在编程语言的运用上也越发多元，涵盖了C、C++、C#、Go等多种语言。这一演变使得“银狐”木马能够更加灵活地突破安全防御，增加了防范和检测的难度。

伪装文件名

第一阶段：Gh0st

Gh0st 加载流程

Gh0st 服务端

大灰狼服务端

第二阶段：DcRat

DcRat加载器

DcRat服务端

第三阶段：Win0s

自“银狐”木马采用 Win0s 作为后门模块以来，其权限维持技术在不断升级，与安全软件的对抗也进入了白热化阶段。“银狐”通过持续优化恶意代码加载器，结合内存加载 PE、白加黑技术以及多样化的进程注入手段，不断突破安全防线。其中，“银狐”对白加黑技术的利用尤为突出，它通过劫持白名单软件，将自身伪装为可信程序，从而规避杀软的监控和检测。此外，“银狐”还会通过多种系统特性进行提权操作，成功绕过进程链检测机制，并利用BYOVD技术在驱动层展开对抗，由此确保攻击者可以长期保持对目标系统的控制，以实现攻击行为的持续隐蔽与高效执行。

• RPC 创建system权限进程

RPC提权

• RPC创建计划任务

RPC创建计划任务

2.COM（组件对象模型）

• 计划任务

计划任务

• 提权

提权

• 创建快捷方式

快捷方式

• 设置防火墙

防火墙

• 回调执行恶意代码

回调执行恶意代码

• 越权复制文件

复制文件

3.注入

• APC注入

APC注入

• CreateRemoteThread & NtCreateThreadEx 注入

远程线程注入

• ResumeThread 注入

线程注入

4.DDR（Dead Drop Resolvers）

• 远程载荷 云对象存储COS

云对象存储COS

• 云笔记

云笔记

5.BYOVD（Bring Your Own Vulnerable Driver）

BYOVD

Win0s服务端

第四阶段：行为管理与监控软件的利用

IP-Guard是某厂商开发的行为监控管理软件，具有实时监控与记录、远程控制、文件管理等功能，能够对用户终端的操作行为进行实时监控、审计以及管理，广泛应用于企业内部的安全管理。

IP-Guard 服务端

2.Ping32

Ping32 是国内厂商开发的行为管理与监控软件，与IP-Guard类似，它通过多种功能模块记录、分析和控制终端用户的行为，提供IT管理支持。

Ping32 服务端

Rejetto HFS（HTTP File Server） 是一款免费的 Windows 上基于 HTTP 协议的轻量级文件服务器软件，以简单易用、高度自定义的特性而受到欢迎，常用于快速文件共享和小型文件服务器的搭建。

• http://69.165.***.***:8888/

文件服务器

• http://202.58.***.***:8821/

文件服务器

漏洞利用

2.搜索引擎

恶意攻击者会将钓鱼网页进行合法备案，将其伪装成正规网站。因为合法备案增加了网站的可信度，所以用户很容易对恶意网站产生信任。同时，攻击者能够利用搜索引擎的推广机制，通过为恶意网页支付推广费用来提高其曝光率和排名，从而诱骗用户点击钓鱼网页，下载并运行病毒样本。

钓鱼网站信息

搜索引擎广告推广

信息溯源

域名指向公司的工商信息

该样本的加载流程图如下：

加载流程图

检测虚拟机

释放恶意代码

接着，样本通过APC & NtTestAlert的方式执行恶意代码。

APC 注入

内存加载DLL

1.若为Win10、Win11系统：

• 进程名称检测：检测程序名称是否包含执行数字。

• 注入：采用线程池注入的方法，将恶意代码注入到explorer.exe 中。

2.若为Win10以下系统：

注入方式

匹配文件名称

检测完成后，将恶意代码以及后门网址写入注册表HKEY_CURRENT_USERConsole，并释放到本地文件C:UsersPublicDownloadsbb.jpg 中。

恶意代码注册表

线程池注入

注册表修改

注入explorer

下载后门模块

导出函数

上线模块.dll

分析发现，该样本的后门模块与2024年8月份火绒安全发布的“李鬼”软件暗设后门，对抗杀软侵蚀系统文章中的后门模块类型相同，同属于Win0s后门，具体细节可查看往期分析报告。

自动截图

1.分析样本C&C：

2.分析样本HASH：

3.近期活跃银狐样本C&C：

4.近期活跃银狐样本HASH：