1. 你的位置
  2. 网站首页
  3. 新闻动态
  4. 行业资讯

银狐木马:全面了解与防御指南

2024-11-16 14:28:56 webmaster

近期,银狐木马再次成为网络安全领域的焦点,其高度的变异性和隐蔽性给企业和个人带来了严重威胁。本文将详细介绍银狐木马的特点、传播途径、对抗安全软件的手段以及防御建议,帮助大家更好地应对这一威胁。


银狐木马的特点


1. 变异性强


银狐木马以其高度的变异性和复杂的传播手段著称,能够通过多种途径侵入用户的计算机系统。其主要传播手段包括:

-钓鱼网页:通过伪装成合法网站诱导用户点击下载。


图片
银狐木马典型钓鱼页面
图片

带有木马安装包的钓鱼页面


-即时通讯软件:利用微信、QQ等即时通讯工具发送带有恶意链接的消息。


-伪装成常用软件:伪装成常见的工具软件(如SecureCRT、v2ray、XShell等),用户下载后会触发恶意行为。

图片


2. 隐蔽性高


银狐木马善于利用各种技术手段实现隐蔽传播,包括:

-搜索引擎优化(SEO):通过SEO技术将用户引导至虚假网站,这些网站通常模仿知名站点,以获取用户的信任并诱导其下载恶意软件。

图片
某搜索引擎中搜索到的虚假钓鱼站点
图片
虚假钓鱼站点页面

-云笔记存储:利用云笔记存储恶意负载,使得追踪和封堵变得困难。


-网盘和云服务:借助合法的网盘或云服务存储恶意软件,进一步增加追踪难度。

图片
挂载于网盘中的恶意木马包

3. 攻击目标明确


银狐木马主要针对企事业单位的管理人员、财务人员、销售人员及电商卖家等,通过窃取敏感信息,如企业财务数据、员工个人信息等,实施进一步的犯罪活动。

图片
带有木马安装包的钓鱼页面

4. 利用正规企业管理软件


银狐木马还善于利用某些正规的企业管理软件来实现长期驻留。这些管理软件通常具有防卸载和防关闭的功能,攻击者一旦控制了这些软件,就可以长时间控制受害者的计算机系统。

图片
图片
图片
某企业管理软件

对抗安全软件的手段


1. 利用RPC管道远程创建计划任务与服务

银狐木马通过构造RPC数据包和构造RpcStringBindingComposeW函数调用两种方法,针对传统RPC管道方式创建计划任务进行了改进,有效规避了常规杀毒软件和EDR产品的监测。


2. SecLogon伪造父进程

利用SecLogon滥用方法,银狐木马可以实现伪造父进程,构造一个错误的进程链,迷惑安全软件,从而绕过安全软件的拦截。


3. 发送消息尝试结束安全软件

银狐木马在进入机器后,可能也会遍历窗口,查找安全软件,并尝试对窗口发送WM_CLOSE和WM_QUIT消息关闭安全软件。


4. 模拟点击安全软件拦截弹窗

银狐木马在运行生命周期中会创建一个辅助线程,用于循环查找安全软件的拦截弹窗。一旦出现安全软件拦截弹窗,便模拟用户操作来点击“允许”按钮,从而规避拦截。


5. PoolParty注入技术

银狐木马还会利用PoolParty注入技术代替常规的代码注入方法,将代码注入到系统进程中执行,规避安全软件拦截。


6. 其他欺骗手段

银狐木马还会利用一些安全软件、系统维护工具的驱动,以及软件兼容性策略等来逃避安全软件的查杀拦截,欺骗手段多样且难以防范。


驻留方式


1. Run自启动项

银狐木马会利用系统的Run自启动项实现每次开机自动运行。


2. 服务项目

通过创建系统服务,银狐木马可以在后台长期运行而不被用户察觉。


3. 计划任务

银狐木马会创建计划任务,定期执行恶意操作。


4. 利用系统程序

银狐木马会选择一些较少被使用到的系统程序,通过加参数脚本的方式实现启动,从而在没有常规木马文件落地的情况下实现驻留。


5. 利用企业管控软件

银狐木马会利用企业管理管控软件实现长期驻留。这些软件通常具有防卸载和防关闭的功能,使得木马可以长时间控制受害者的计算机系统。


银狐木马的主要攻击目标


1. 信息窃取

银狐木马主要集中在“信息窃取”上,利用其掌控的电脑收集用户的个人信息以及企业信息,伺机发起诈骗。其窃取的主要信息包括:

- 微信密钥与聊天记录

- 企业财税文件

- 企业工资单等企业财务相关内容


2. 实时监控

银狐木马还会实时检测用户对电脑的操作过程,掌握用户的身份与操作习惯等。


3. 其他用途

除了用于诈骗外,银狐木马还可能用于窃取虚拟货币,以及利用被控制的“肉鸡”实施挖矿和DDoS攻击。


防御建议


1. 提高安全意识

企业和个人都应提高网络安全意识,特别是财务人员等关键岗位,需定期参加信息安全培训,学习如何识别和防范钓鱼攻击。


2. 使用安全软件

安装并定期更新可靠的安全软件,确保其具备最新的病毒库和防护功能。同时,开启实时保护功能,以便及时发现和阻止潜在威胁。


3. 安全上网习惯

避免随意点击来源不明的链接或下载未知来源的软件。在使用即时通讯软件时,对来自陌生人的文件和链接保持警惕。


4. 数据备份

定期备份重要数据,以防万一受到攻击时能够快速恢复。


5. 技术手段

对于企业而言,建议采用多层次的安全防护策略,包括但不限于防火墙、入侵检测系统、反病毒软件等,以构建全面的网络安全防护体系。


6. 审核企业管理软件

企业应定期审核和更新内部使用的企业管理软件,确保这些软件的安全性和可靠性。对于任何未经授权的更新或安装,应立即进行调查和处理。


结语


面对日益复杂的网络环境,我们每个人都需要时刻保持警惕,积极采取措施保护自己和企业的信息安全。让我们共同努力,构建更加安全的网络空间。


如果您需要部署信息安全产品,欢迎联系我们。我们将为您提供专业的安全解决方案和技术支持,帮助您有效应对银狐木马等网络威胁。


感谢您的关注和支持!


为您推荐

首页
产品
资质
联系