SILVERFOXTROJANANNUALREPORT20252025P001(一)無文件與LOLBAS駐留(二)利用合法軟件進行駐留，打造“永久(四)通過注入ShellCode駐留運行003004005005006007008009012012017019020020024028030031031034034五、遠控木馬與遠程控制(一)自制遠控035(三)購買商業(yè)遠控038(四)使用企業(yè)管理軟件039六、獲利途徑(一)轉(zhuǎn)賬詐騙040(二)掃碼電詐042(三)竊取虛擬貨幣數(shù)字資產(chǎn)044(四)投遞勒索軟件046七、制作團伙P050第三章銀狐木馬應(yīng)對方案一、威脅預(yù)防(一)識別釣魚051(二)識別群消息三、中招設(shè)備排查與木馬應(yīng)急阻斷053(一)環(huán)境排查053(二)進程與文件排查057(三)駐留排查061(五)排查原則與應(yīng)急阻斷065四、攻擊溯源采樣五、銀狐木馬清理069(一)常規(guī)清理069(二)頑固木馬清理070(三)再次檢查070(四)安全加固措施071P001P010第一章銀狐木馬概況第一章銀狐木馬概況::P002代某一特定家族木馬，而是逐漸變?yōu)閷σ活惸抉R程序的通稱。其主要是依托釣?zāi)壳埃y狐木馬已成為國內(nèi)最為活躍的木馬家族。根據(jù)360安全智能體監(jiān)測分析發(fā)現(xiàn)，該木馬家族背后的制作及免殺團伙有超過20個，并且還不斷有新的木馬團伙加入。過去一年，對國內(nèi)政企單位發(fā)起了數(shù)萬起攻擊，給企業(yè)正常經(jīng)營與生產(chǎn)安全造成了極大的影響。第一章第一章銀狐木馬概況::P003一微信等）、仿冒網(wǎng)站以及釣魚郵件。其中，今年通過郵件傳播的比例明顯下降工具傳播的比例有較明顯上升。企業(yè)員工中招的初始因素，多為在釣魚網(wǎng)站下載了銀狐木馬，尤其是一些“代理”軟件，被銀狐木馬大量利用。而在企業(yè)內(nèi)大肆擴散更其它25%釣魚傳播15%通訊軟件傳播59%在攻擊目標(biāo)方面，以往銀狐木馬更偏向“精準打擊”，多針對財務(wù)人等關(guān)鍵崗位，通過長時間偽裝和反復(fù)溝通實施詐騙。但今年的情況有所變化于“廣撒網(wǎng)”，對受害者身份不再特別挑選。只要感染到一臺設(shè)備，木馬會信息，并利用受害者已登錄的微信等聊天工具繼續(xù)向聯(lián)系人發(fā)送惡意文件，第一章第一章銀狐木馬概況::P004二在過去，銀狐木馬案件經(jīng)常與大型詐騙案件關(guān)聯(lián)，精準化攻擊特征顯財務(wù)人員或公司高層發(fā)起攻擊，動輒造成數(shù)十萬甚至上百萬元的損失。這類案詐騙、公司對公轉(zhuǎn)賬操作深度綁定，攻擊鏈條長、準備充分、手法復(fù)雜。攻擊而今年的情況出現(xiàn)了較為明顯的變化。銀狐木馬更偏向于“式，獲利規(guī)模隨感染量同步擴大。攻擊者常常緊扣“企業(yè)所得稅匯算清微信等社交平臺群發(fā)消息。也可能通過搜索引擎優(yōu)化提升釣魚網(wǎng)頁曝光度，引導(dǎo)子賬戶信息、掃描虛假二維碼進行小額轉(zhuǎn)賬。受害人群也從原來的特定崗位擴散普通用戶，任何年齡、職業(yè)人群都可能成為目標(biāo)，甚至開始向海外華人群體延伸單筆詐騙金額大幅下降，通常在2000至3000元之間。但因受害設(shè)備會被當(dāng)作“跳板”，通另外，有一部分通過特定渠道傳播的“銀狐”木馬還具備專門針們會精準掃描計算機中主流數(shù)字貨幣錢包客戶端、交易所登錄記錄，不僅搜與私鑰，還會提取瀏覽器保存的相關(guān)賬號密碼和Cookies數(shù)據(jù)，以替換交易地址等方式盜走數(shù)字貨幣資產(chǎn)。這類攻擊往往隱蔽性更強，且資金轉(zhuǎn)移后難除上述主要獲利方式外，銀狐木馬的獲利鏈條還被感染后，除用于直接詐騙外，還會被當(dāng)作“跳板機”，轉(zhuǎn)賣或租賃給其他黑產(chǎn)更大范圍的網(wǎng)絡(luò)攻擊活動。而木馬竊取的企業(yè)內(nèi)部數(shù)據(jù)、個人隱私信息也會按類暗網(wǎng)批量出售給下游詐騙團伙或信息中介，形成“竊密－分類－售賣”的獨立變值得警惕的是，其已形成“惡意軟件即服務(wù)（MaaS）”的產(chǎn)業(yè)化運作模式，黑產(chǎn)團隊會將第一章第一章銀狐木馬概況::P005置滲透工具，協(xié)助后續(xù)加密數(shù)據(jù)勒索，進一步拓寬了獲利邊界，危害從單三（一）2025年以來，銀狐木馬在對抗頻次方面持續(xù)提速。其免殺版本更新頻率曾達到了分鐘級別，一天內(nèi)可發(fā)布數(shù)百個各類免殺更新版本，實現(xiàn)快速迭代。整體傳播漲，傳播態(tài)勢持續(xù)處于高位。在工作日，日查殺量維持在5萬次/天以上。在傳播高峰時其周傳播量甚至可達90余萬次，根據(jù)360安全智能體攔截記錄，對銀狐木馬的單日攔截量高釣魚網(wǎng)站攔截方面，2025年前11個月攔截超過1萬個銀狐釣魚站點。尤其在今年7月第一章第一章銀狐木馬概況::P0062025年銀狐木馬釣魚站點攔截量釣魚站點攔截量715217621159108311551104141411591083115511048593435713432551月2月3月4月5月6月7月8月9月10月11月此外，我們在11月專項治理了一批涉及銀狐灰黑產(chǎn)的境外傳播站點，這也導(dǎo)致11月的數(shù)據(jù)量有較大提升。這批被處理的站點約有6000個，主要涉及偽造Telegram釣魚、偽造LetsVPN釣魚、偽造Chrome釣魚、偽裝KuaiLian釣魚等情況。（二）2025年以來，銀狐木馬異?；钴S，不斷涌現(xiàn)出新的變種。根據(jù)360安全智能體統(tǒng)計，僅2025年前11月中，就發(fā)現(xiàn)了967個新型銀狐木馬變種，幾乎每天都有新家族變種出現(xiàn)。而這一態(tài)勢在年初的3、4月和年末的9、10月份尤為明顯，報告截止時，共計有約3萬種新第一章第一章銀狐木馬概況::P0070四第一章第一章銀狐木馬概況::P008（一）根據(jù)360安全智能體統(tǒng)計，銀狐木馬當(dāng)前主要攻擊目標(biāo)集中在境內(nèi)，境外整體攻擊量不第一章第一章銀狐木馬概況::P009（二）此外，對于銀狐這類目標(biāo)導(dǎo)向明顯的木馬，我們格外關(guān)注其在一天當(dāng)分布情況。我們對其攻擊數(shù)據(jù)進行了抽樣統(tǒng)計，發(fā)現(xiàn)以小時對全天攻擊量進行上午10點前后及14點至16點的區(qū)間范圍內(nèi)，有著非常明顯的攻擊峰值。這一分布也恰恰與銀狐木馬主要攻擊目標(biāo)人群的工作時間高度第一章第一章銀狐木馬概況::P0102025年銀狐木馬攻擊每日時段分布攻擊量012345678910111213141516171819202122232025年前11月，360終端安全產(chǎn)品更新了超156項防護方案，以應(yīng)對銀狐的各類攻擊P011P049P012一（一）通過聊天軟件傳播是目前銀狐木馬最常見、最主要的傳播方式。它主要●借用受害電腦上已登錄的賬號傳播銀狐木馬本身并不具備盜取微信、釘釘賬號密碼的能力，它只能利用已●常見的傳播手法攻擊者通常會利用被控制電腦的微信或釘釘，執(zhí)行“拉群”“點對然后給好友或群成員發(fā)送偽裝成文檔、圖片、壓縮包的木馬文件或釣P013P013而在傳播內(nèi)容的包裝方式上，銀狐木馬團伙也會使用各種技巧來繞過安全軟件的檢●使用帶有密碼的壓縮包這種方式通常會配合一封“恐嚇信”。對方會在信里提供解壓密碼，不過，通過全網(wǎng)感知能力，360終端安全等產(chǎn)品可以在不依賴密碼解密的情況下，P014P014●使用超大壓縮包和格式異常的壓縮包這種方法主要是對抗安全軟件的自動掃描。攻擊者會發(fā)送體積特別大對于普通用戶，這類異常往往不明顯，因此更具迷惑性。當(dāng)前仍有部分●使用包含大量文件的壓縮包●使用微信筆記發(fā)送此類手段同樣也是為了避免直接傳文件容易被封禁和被安全軟件攔P015P015●使用圖片、文檔發(fā)送釣魚信息攻擊者會把釣魚鏈接或提示信息放在圖片或文檔中發(fā)送。這些文件然不會被安全軟件直接查殺，但一旦用戶根據(jù)提示操作，就可能進入P016●使用特殊格式文件（如msc，html等）這類文件在特定環(huán)境下可以執(zhí)行腳本或觸發(fā)系統(tǒng)功能，攻擊者利用它●利用虛擬硬盤打包另外，還出現(xiàn)過使用VHD虛擬硬盤格式傳播銀狐木馬的案例。VHD文件本質(zhì)上是一個可被Windows加載的“虛擬磁盤”，攻擊者甚至?xí)涯抉R打包成一個虛擬硬盤，除此之外，攻擊者還會使用更多變種技巧，如嵌與安全產(chǎn)品的對抗中不斷嘗試新方法，只要能躲過檢測、成功傳播，他們P017（二）利用釣魚網(wǎng)站，SEO站點，掛馬站點傳播，也是銀狐木馬傳播上的一大特點。釣魚站點集中在兩大領(lǐng)域，一類是辦公相關(guān)軟件，如：釘釘，WPS，微信電腦版，有道翻譯等。另一類是一些灰產(chǎn)與IT管理相關(guān)軟件，如：Telegram，KuaiLian，LetsVPN，●依靠搜索引擎?zhèn)鞑ピ诟鞔笾髁魉阉饕娴慕Y(jié)果中，如今也常夾雜著“銀狐木馬”的傳頁面往往通過SEO優(yōu)化（提高搜索排名）混入正常結(jié)果中，甚至有不法分子直接通過投放廣告的方式，讓帶有木馬的頁面出現(xiàn)在搜索結(jié)果的前列。木馬頁似，域名也比較接近，用戶稍不注意，就可能被引導(dǎo)訪問釣魚網(wǎng)站，下載帶毒的文P018●木馬掛載地址高“存活率”，開始大量轉(zhuǎn)向公共云平臺來托管惡意文件。這類平臺少、難以直接封禁，因此很容易被濫用。目前被“銀狐”木馬團伙頻括：阿里云對象存儲、百度對象存儲（BOS）、123網(wǎng)盤直鏈、文叔叔等常見的文件或?qū)ο蟠鎯Ψ?wù)。例如，曾有木馬利用百度BOS存儲掛載惡意組件，其訪問鏈接●網(wǎng)盤存放如利用123盤存放木馬等P019（三）在2025年，銀狐木馬通過郵件傳播的數(shù)量相比往年有所下降，但郵件依然是其重要的傳播渠道之一。此類攻擊通常面向企業(yè)財務(wù)人員，攻擊者往往假借“財稅稽查”“稅務(wù)通知”“發(fā)票異?！钡让x發(fā)送釣魚郵件，引導(dǎo)收件人點擊附件或下載鏈接，從而P020（四）直接通過漏洞傳播的銀狐木馬較為少見，一般是通過web漏洞，入侵一些傳播。常見被利用的網(wǎng)站漏洞有KindEditor、WordPress、UEditor、ThinkPHP等數(shù)十款比如，某公司網(wǎng)站使用了帶有漏洞的KindEditor編輯器，導(dǎo)致被攻擊者（五）銀狐木馬的橫向傳播，與勒索、挖礦等病毒的橫向傳播方式不同。銀狐木網(wǎng)橫向掃描滲透，一般是通過收集被控設(shè)備的相關(guān)信息，采集使用人的關(guān)系聊天軟件、企業(yè)內(nèi)部群進行傳播。因此，經(jīng)常能夠見到，同一個變種的木馬P021P021P022二在過去兩年，銀狐木馬通常潛伏期較長，從一周到三個月不等，攻擊中悄悄收集信息。但目前傳播的銀狐木馬更傾向于“短平快”策略，長期少見。即便有少數(shù)設(shè)備長期被感染，也是因為管理疏忽或未及時更現(xiàn)在，攻擊者在控制一臺設(shè)備后，通常只會進行1到3天的信息收集工作，然后迅速利用該設(shè)備進行二次傳播或發(fā)起詐騙。由于安全廠商加快了對銀狐木馬的檢測和設(shè)備很快就會被暴露和清理。換句話說，攻擊者如果不盡快變現(xiàn)獲利，很可能“費盡心機”三（一）在與安全軟件的對抗中，銀狐木馬采用的“免殺”手段與傳統(tǒng)木馬類度非?？?。在攻擊高峰期，我們曾一天就捕獲到超過200個新的免殺版本，可見銀狐木我們一般常見的免殺方式包括：加殼，使用打包工具如nsis、msi、InnoSetup，制作超大文件等方式。除此之外，銀狐木馬還用到了其他一些免殺方法，其中比較P023P023常軟件的可執(zhí)行部分（exe），配合木馬DLL與ShellCode文件組成。典型的運作方式是：正常exe啟動后會加載部分dll執(zhí)行，木馬作者替換這些dll，就獲得了執(zhí)行機會。此時利用這個執(zhí)行機會，加載數(shù)據(jù)文件中的ShellCode執(zhí)行。木馬的核心代碼位于ShellCode文件中，該文件是木馬作者自行定義的數(shù)據(jù)格式，病毒引擎很難對它進行檢測查殺。而負責(zé)執(zhí)行的exe本身是正常程序，也非病毒。靜態(tài)引擎掃描查殺的點就只能落到ShellCode文件并加載。攻擊者還會使用一些技術(shù)手段，降低這些代碼的敏感度。比如將少這類“白加黑”方案，通常還會被制作為通用方案，使得“正常白文件”與●正常程序利用這是一類特殊的“白加黑”利用方式，攻擊者不直接編寫木馬PE模塊，而是利用正常軟件的功能，修改影響的配置，實施利用的一種方法。最常見的力豐富，如可以執(zhí)行一些腳本，甚至ShellCode，被攻擊者選中，攜帶相應(yīng)的配置加以利用。針對這類利用方式，常規(guī)的靜態(tài)掃描方式較難適配，需要●文件拼裝方式P024為紐帶，文件以分片文件或加密文件的形式存儲。木拼裝木馬程序執(zhí)行，執(zhí)行完成后再清除拼裝的文件，進而減少文件的被掃描的風(fēng)險。這樣能夠被掃描的內(nèi)容就只有少量配置與命令參數(shù)，●畸形類這也是病毒木馬經(jīng)常使用的一類免殺方法，今年有部分銀狐木馬使用了這類方法。其思路是，構(gòu)造結(jié)構(gòu)畸形PE文件，利用系統(tǒng)加載程序時的異常處理，獲得特定的執(zhí)行效果。嚴格意義上說，此類文件結(jié)構(gòu)錯誤，不屬于可正常執(zhí)行的程（二）除了常規(guī)的免殺手段外，銀狐木馬背后的制作團伙顯然對Windows系統(tǒng)的各種機制特●利用.NET中的GAC劫持系統(tǒng)全局程序集緩存（即GlobalAssemblyCache，縮寫為GAC）是Windows系統(tǒng)序組件，避免出現(xiàn)版本沖突問題。但木馬利用.NET的這一特性，可以實現(xiàn)對指定P025P025●利用.NET特性發(fā)起隱蔽攻擊 解壓后的釣魚文件（.exe）同名且?guī)в?config擴展名的配置文件。而該配置文件采用XML格式，用于存儲應(yīng)銀狐木馬正是利用了這一特性，添加了一條MyAppDomainManager（使用自定 P026在進行了這種配置后，主程序便會在初始化時自動加載文件中指定的ipc.dll文件，并執(zhí)●利用微軟WDAC特性攻擊安全軟件文件。SiPolicy.p7b就是WDAC的策略控制文件，其內(nèi)容會控制WindowsP027通過解碼這個SiPolicy.p7b的文件內(nèi)容，可以發(fā)現(xiàn)其包含了眾多極具針對性的攔截策若當(dāng)前系統(tǒng)已遭到該銀狐木馬的入侵，那么當(dāng)系統(tǒng)中有安全軟件運行時，用戶如下的系統(tǒng)彈窗彈出。這也就是WindowsDefender在被銀狐木馬利用后，對各類安全軟 WindowsDefender被利用來執(zhí)行銀狐木馬的●利用未公開的系統(tǒng)接口執(zhí)行銀狐木馬的制作團伙還曾利用過一種未公開的系統(tǒng)機制來執(zhí)行惡意代碼他們發(fā)現(xiàn)了Windows系統(tǒng)中Explo意代碼（也就是所謂的shellcode）寫入Explorer的內(nèi)存空間，然后向Explorer發(fā)送一條特定的系統(tǒng)消息，指向這段惡意代碼的位置，從而誘使Explorer去執(zhí)P028（三）●利用系統(tǒng)安全機制繞過防護隨著微軟收緊了對核心層（Ring0）的控制，很多安全軟件的監(jiān)控只能在用戶層例如，有木馬可以直接使用系統(tǒng)調(diào)用（syscall）來執(zhí)行操作，從而避開用戶層監(jiān)控；還有一些攻擊通過構(gòu)造特殊的數(shù)據(jù)包，調(diào)用系統(tǒng)組件（COM接口）來模擬合法操作，從而在后臺執(zhí)行惡意行為。這類攻擊方式更隱蔽，也更難被傳到。下面便是利用構(gòu)造的RPC數(shù)據(jù)包調(diào)用COM接口。使用NdrClientCall3函數(shù)向COMServer發(fā)送數(shù)據(jù)包，模擬SchRpcRegisterTask方●模擬用戶操作攻擊P029P029換句話說，看似是用戶自己雙擊打開了文件，其實是木馬在暗中操控●利用安全軟件配置繞過防護銀狐木馬在對抗安全軟件時，也會刻意利用安全產(chǎn)品自身的機制進行繞有攻擊者直接篡改殺毒軟件的“信任區(qū)”列表，把木馬偽裝成“可信●偽裝成游戲環(huán)境部分安全軟件在檢測到游戲運行時，會自動降低彈窗和攔截力度驗。木馬通過模擬游戲運行環(huán)境，讓安全軟件誤以為用戶正在玩游戲，從而放松防●利用誤報規(guī)避機制一些安全產(chǎn)品為了避免誤報，會對特定類型的軟件更“寬松”。銀●模擬系統(tǒng)關(guān)機或用戶點擊木馬甚至?xí)卧煜到y(tǒng)關(guān)閉消息誘導(dǎo)安全軟件自行退出，或者模擬用戶這些手法本質(zhì)上都是在利用安全軟件的正常機制來規(guī)避檢測，因此更●利用安全軟件配置繞過防護利用微軟DCOMIAccessible的特性實現(xiàn)模擬點擊。IAccessible是一個微軟提供的標(biāo)準輔助操作接口，可操作所有窗口。系統(tǒng)桌面是一個SysListView32控件，屬于List控P030到桌面上的元素，執(zhí)行一個accDoDefaultAction，就可以利用explorer對目標(biāo)實施一（四）驅(qū)動利用技術(shù)（BYOVD）木馬為了與安全軟件對抗，往往會借助第三方軟件或組件來提升自身能過去，由于Windows對驅(qū)動程序的限制較少，攻擊者可以隨意編寫自己的驅(qū)動，與安全軟件“正面對抗”。但隨著微軟不斷收緊驅(qū)動簽名和加載策略，這種方式經(jīng)寫好的驅(qū)動。這些驅(qū)動可能來自安全軟件、硬件廠商、工具軟件等，它們本部分驅(qū)動在設(shè)計時，對調(diào)用場景限制不夠嚴格，對調(diào)用者身份或執(zhí)擊者通過逆向分析它們的功能，就可以“借刀殺人”，利用這些驅(qū)動來完成一些高權(quán)限操●繞過系統(tǒng)限制強制結(jié)束進程●刪除受保護的文件●創(chuàng)建關(guān)鍵系統(tǒng)節(jié)點●修改敏感數(shù)據(jù)等過去一年，我們已經(jīng)處理并封堵了超過2000種被濫用的驅(qū)動案例。例如，近期發(fā)P031現(xiàn)的zam64.sys，本是某安全軟件組件，但其驅(qū)動功能被攻擊者利用后，同樣可能成為銀狐木馬的攻擊技術(shù)方法層出不窮，在此無法一一列舉。2025年前11月，我們更新了超156項防護方案，應(yīng)對各類攻擊手法。攻擊手法也不會四（一）無文件與LOLBAS駐留利用系統(tǒng)中的一些程序，實現(xiàn)特定功能，這在木馬攻擊中非常普遍，銀些較少被使用的程序?qū)崿F(xiàn)該方法。比如，木馬使用FTP靜默執(zhí)行特定腳本的方式，實現(xiàn)啟動。系統(tǒng)的FTP程序本是用來訪問FTP站點的，但通過特定的命令參數(shù)，可以使用程序的啟動，連環(huán)利用類似的策略，攻擊者就可以在沒有常規(guī)木馬文件落地的情P032（二） 被利用的軟件主要是IT管理類軟件和遠程協(xié)助類軟件，這類軟件本身能夠?qū)崿F(xiàn)遠程訪問和控制計算機，攻擊者利用這一特性，將配置好的這現(xiàn)長期非法遠程控制。由于這類軟件本身是合法軟件，被安全軟件檢出并查能夠?qū)崿F(xiàn)所謂的永久免殺，更有甚者，攻擊者會一次部署多款這類軟件，來防止“全軍覆在2025年，360終端安全新增支持了12款這類被利用軟件的攔截或清理。（三）計劃任務(wù)、服務(wù)、注冊表中Run項、啟動目錄是銀狐木馬最常用的駐留方式，攻擊者一般會使用“白利用”的方式，將“正常文件”放入啟動項，通過正常文件加載P033P033P034（四）通過注入ShellCode駐留運行嚴格來說，注入ShellCode運行不是獨立的駐留技術(shù)。但這項技術(shù)配合其他駐留手段，被廣泛用于銀狐木馬的駐留運行之中。木馬在啟動后，會通過注入系統(tǒng)進程己的行蹤，避免被安全軟件檢測發(fā)現(xiàn)。比如，下面的木馬會讀取adp.xml內(nèi)容，將其加載到內(nèi)存中執(zhí)行，并注入系統(tǒng)的桌面進程（explorer.exe）中。（五）簡單來說，就是趁其他程序啟動時，偷偷插入自己的代碼，借機獲得執(zhí)見做法是劫持微信加載的庫文件。當(dāng)微信啟動另一種方式是劫持系統(tǒng)的庫文件，比如，利用Windows的TypeLib（類型庫）進行劫持。攻擊者修改注冊表：HKEY_CLASSES_ROOT\TypeLib\{GUID}\<version>\0\win32或HKEY_CLASSES_ROOT\TypeLib\{GUID}\<version>\0\win64P035五●自制遠控如Gh0st變種類遠控、WinOS遠控以及其它一些制作遠控?！袷褂煤戏ㄟh程協(xié)助軟件AnyDesk、ToDesk●購買商業(yè)遠控如ScreenConnect、第三只眼、超級眼遠控、超級網(wǎng)控等●使用企業(yè)管理軟件（一）銀狐木馬最常見的工具，就是它們自己制作的“遠程控制木馬”（遠控）●Gh0st遠控的改造版●WinOS遠控的變種●團隊自制的小眾遠控工具用來突破防御、在受害者電腦上先站穩(wěn)腳跟。待進一步取得控制權(quán)后，攻擊P036P036Gh0st遠控的變種是目前最常見、流行度最高的一類遠控木馬。原因很簡單，Gh0源代碼是公開的，任何木馬開發(fā)者都可以在其基礎(chǔ)上進行修改、擴展，做團伙常用的遠控工具之一。WinOS遠控是近年來新起的一類遠控，具備完整的功能體系和控制架構(gòu)和強大的擴展功能，能夠管理數(shù)千個終端節(jié)點的同步連接。其架構(gòu)主要由核心的上線模塊構(gòu)成：上線模塊負責(zé)維持通信鏈路，接收指令并調(diào)度各項功能；功能模P037（二）比如，今年我們新捕獲的一款被利用遠控，攻擊者會濫用名為UEMSAgent的合法遠程管理軟件，對用戶電腦進行控制。攻擊者先在受害者電腦上靜默安裝這款配置文件（如CAgentServerInfo.json），將原服務(wù)器地址替換為自己的控制端。例如，在被修改的配置中就出現(xiàn)了歸屬地為中國香港的控制服務(wù)器03:8383。完成這些步驟后，UEMSAgent就會在后臺自動連接攻擊者的服務(wù)器，用戶的電腦也因此在毫據(jù)UEMSAgent官網(wǎng)介紹，該軟件有遠控軟件常用的功能。例如遠端檔案傳輸、多監(jiān)視P038部分木馬還會查詢用戶機器是否有向日葵遠程工具。如有，則會竊（三）有時候，攻擊者也會選擇購買商業(yè)遠控實施攻擊活動。如我們之前就捕攻擊者使用ScreenConnect、第三只眼、超級眼遠控、超級網(wǎng)控等商業(yè)遠控非法控制用戶計算機。這類遠控軟件一般具備合法資質(zhì)，應(yīng)用于運維、遠程協(xié)助或企業(yè)管理將其重寫打包，通過靜默安裝的方式部署到受害者用戶電腦中，從而在后臺悄P039（四）濫用企業(yè)管理軟件，已經(jīng)成為銀狐木馬最常見，也會使用遠程運維、資產(chǎn)管理等工具來管理電腦，而這些軟件本身是完全合法私有化部署的方式，將這些軟件脫離管理、靜默安裝到用戶電腦上，就能像馬”一樣使用，甚至比真正的木馬更穩(wěn)定、更難被發(fā)現(xiàn)。攻擊者無需編寫任有些攻擊者為了確保不被查殺，甚至?xí)瑫r部署多款管理軟件來“互相兜底身是企業(yè)常見的工具，安全軟件不容易將其判定為木馬，再加上軟件通常具備自保護機制，中最常見的包括IPGUARD、陽途、固信、安在等。針對這一情況，360終端安全產(chǎn)品已推出這類軟件的濫用檢測與一鍵清理方案，幫助用戶從這些“披著合法外衣”P040六銀狐木馬的不同分支之間，最大差別就在于它們的“賺錢方式”。根據(jù)獲木馬主要可以分為三類：第一類是轉(zhuǎn)賬詐騙，主要針對企業(yè)財務(wù)或老板，偽害者進行大額轉(zhuǎn)賬；第二類是掃碼電詐，通過發(fā)送偽裝成通知或補貼的釣魚掃碼，隨后騙取支付或轉(zhuǎn)賬；第三類則是專門竊取虛擬貨幣的錢包信息，目（一）此類銀狐木馬在發(fā)起攻擊前，攻擊者往往會預(yù)先做好充足的準備工作攻擊者首先會精準定位財務(wù)、管理等高價值目標(biāo)人群，再結(jié)合其偽造高可信度的官方文件或工作通知，通過社交信任鏈或官方機構(gòu)偽裝實現(xiàn)傳木馬一旦被成功植入受害設(shè)備，攻擊者便會通過遠程控制功能對其進行不僅能獲取受害人的微信、QQ等社交軟件聊天記錄，還能掌握企業(yè)財務(wù)賬戶信息、人員層級關(guān)系、領(lǐng)導(dǎo)溝通習(xí)慣等核心數(shù)據(jù)，進而為后續(xù)冒充詐騙構(gòu)建完整的信息畫最終，攻擊者會基于前期竊取的信息完美復(fù)刻企業(yè)領(lǐng)導(dǎo)的社交賬號隨后通過建群、私聊等方式下達轉(zhuǎn)賬指令，利用財務(wù)人員對領(lǐng)導(dǎo)的服從性和求誘導(dǎo)其在未充分核實信息真?zhèn)蔚那闆r下完成轉(zhuǎn)賬，實現(xiàn)最P041P041更有甚者，攻擊者如果在第一階段就成功入侵了最終的高價值目P042（二）在控制用戶計算機后，銀狐木馬會利用被害者電腦中的微信、釘釘群P043P043而其二維碼中對應(yīng)的內(nèi)容通常是一個釣魚網(wǎng)站，比如，對上圖此外，也有類似下面的釣魚鏈接。兩者的共同特點是利用支付寶的功其釣魚鏈接，使用戶更難發(fā)現(xiàn)其釣魚攻擊，而且其最終釣魚落地頁面，也如果用戶掃描其釣魚二維碼，就會看到類似于如下頁面的釣魚網(wǎng)頁。進一步騙取用戶的個人信息、銀行賬戶信息，最終誘導(dǎo)用戶實施轉(zhuǎn)賬支付，騙P044（三）部分銀狐木馬，既不會主動傳播，也不會發(fā)起電詐，而是專注于用用戶密碼與重要數(shù)據(jù)。下面這款遠控木馬具有常見的遠控功能，如：文件傳記錄、收集用戶系統(tǒng)信息、遍歷是否存在網(wǎng)絡(luò)分析工具等行為，其最終目標(biāo)P045P045P046（四）本年度我們還捕獲了通過“銀狐木馬”投遞勒索病毒的攻擊案例。攻擊屬于勒索攻擊團伙采購了“銀狐類遠控木馬”之后發(fā)起攻擊的情形。也就是說，銀狐木馬不僅被用于詐騙，還開始被更廣泛地濫用，與勒索攻擊等灰黑產(chǎn)活動結(jié)合得越來越緊P047七在2025年度，360共監(jiān)控到了超過20個活躍的銀狐木馬制作團伙，而參與其中的相關(guān)我們分析了從2023年5月到當(dāng)前新增的木馬制作團伙。從2024年11月開始，新增團伙開始顯著增加。整個2025年度的新增攻擊者的新增量則始終維持在一個較高的位置。具體銀狐木馬作者首次出現(xiàn)時間攻擊者數(shù)量此外，對這些可疑攻擊團伙進行分析，在2025年依然處于高度活躍狀態(tài)的攻擊者占到總量的62.29%，而即便只看2025年下半年，高度活躍的攻擊者也占到總量的41.77%。P048P0482023H10%2025H242%2023H22024H12024H22025H18%18%20%從攻擊者的地域分布來看（以攻擊者使用IP進行分析，非攻擊人員的絕對位置），除中國地區(qū)外，攻擊IP主要集中于東南亞地區(qū)，占到了總量的36.4%，而這其中IP位于越南地區(qū)的相對集中。其他地區(qū)2%61%P049P049而在我國境內(nèi)的部分，除了人口和經(jīng)濟均較為發(fā)達的廣東地區(qū)為集中的分布區(qū)域。經(jīng)研判，這主要是因為有大量病毒木馬開發(fā)者租用了香港機用作代理或?qū)Ｓ糜谀抉R傳播。云南地區(qū)，主要是由于IP解析定位不夠準確，部分東南亞地廣東省21.75%香港特別行政區(qū)18.08%云南省16.95%其他地區(qū)43.22%總體而言，銀狐木馬的制作團伙在2025年度出現(xiàn)了較為明顯的活躍勢頭。同時，從業(yè)P050P071P051一對于各種類型的安全威脅，預(yù)防永遠是第一位的。而針對銀狐木馬而言，方式還是需要用戶能夠識別常見的釣魚信息，遵守相應(yīng)的安全規(guī)范，這樣（一）●核實來源在下載軟件時，建議通過官網(wǎng)或360軟件管家等可信軟件園進行下載，其他渠道難?！窈藢︵]件發(fā)件人對于平時需要接收電子郵件的用戶，需要特別注意收到郵件的發(fā)件人?！癫豢奢p信文件圖標(biāo)銀狐木馬多帶有偽裝。建議開啟顯示常見文件的擴展名，一旦發(fā)現(xiàn)擴展P052●群發(fā)文件不要輕易打開不要好奇地去點擊各類來源不明的群發(fā)文件，尤其對各種充滿誘惑（二）除了上述的各類文件或附件外，還要對各類群消范，做到一切信息的提交流程合規(guī)，尤其不輕易填寫個人或涉密信息，二針對前場安全專家和企業(yè)IT管理人員，建議用戶優(yōu)先使用終端安全產(chǎn)品查殺銀狐木馬。在一些特殊情況下，如無法部署安全產(chǎn)品，可嘗試銀狐木馬通常是一類帶有駐留能力的遠控木馬，攻擊收集用戶信息，伺機發(fā)起詐騙。銀狐木馬通常粗制濫造，安裝后與正常軟常用的詐騙方式是利用被控電腦已經(jīng)登錄的微信、釘釘或其他企業(yè)內(nèi)部通訊軟件，“拉群”針對銀狐木馬這一特點，在處置中，可首先嘗試下線通訊軟件，必要時P053三●進程及文件查看工具如：PCHunter、YDark、ProcExp、Autoruns等●文件查找類工具主要是以Everything為代表的工具軟件●系統(tǒng)監(jiān)控類工具（一）主要排查有無破壞操作系統(tǒng)或重要軟件正常功能。如阻斷系統(tǒng)或軟這類排查的目的，一方面是恢復(fù)系統(tǒng)正常運行；另一方面，用來快速評是否起效。一般僅對已經(jīng)發(fā)現(xiàn)的異常問題，進行專項排查。未發(fā)現(xiàn)上述異常P054利用WDAC、CIP策略阻止軟件運行正常運行。WDAC功能，其本質(zhì)上就是一種加強的應(yīng)用程序控制策略，旨在確保系統(tǒng)只運木馬正是利用了這一疏漏，修改了WDAC的管控策略進行惡意操作，直接阻止了多款安全）：P055利用組策略或AppLocker阻止安全軟件安裝及啟動攻擊者通過添加Windows組策略或AppLocker規(guī)則，限制安全防護軟件的安裝和執(zhí)行。一般可通過組策略管理器（gpedit.msc）操作干預(yù)。（部分組策略規(guī)則在編輯器中無法展示或操作）P0562.網(wǎng)絡(luò)類排查：常規(guī)網(wǎng)絡(luò)配置，包括IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS等常見配置項。銀狐木馬可能防火墻策略，除一般策略外，還需要排查WPF策略(WFPExplorer)，網(wǎng)絡(luò)配置是否正P057（二）進程排查是必須進行的排查手段。可結(jié)合用戶現(xiàn)場描述，如發(fā)生設(shè)備查是否存在可疑遠控木馬。主要用于尋找當(dāng)前存活木馬，以及可疑軟件常見的異常包括：文件名、文件路徑不規(guī)范，如P058P058還可能存在于一些特殊目錄下的，如Docments一般在有其它指征情況下（如發(fā)現(xiàn)其網(wǎng)絡(luò)訪問、文件訪問存在異常），可嘗P059P059銀狐激活時，通常會選擇注入系統(tǒng)進程，常被注入的系統(tǒng)進程有svchost.exe、lsass.exe、VSSVC.exe等進程。可以利用PCHunter或ProcExp等工具查看這些系統(tǒng)進程中的DLL模塊，排查是否有異常模塊。部分銀狐使用純ShellCode的方式進行注入，可通2.排查是否存在異常軟件除此之外，還需要特別關(guān)注一些軟件。比如系統(tǒng)中是否存在遠程控制軟件，如AnyDesk、ToDesk、向日葵等。尤其是近期安裝的，需要詢問是否為用戶主動安裝使還有是否存在第三方管理軟件，如Ipguard、陽途、固信、安在等，確認是否為用戶主●安在%ProgramFiles%\CommonFiles\NSEC\%ProgramFiles(x86)%\CommonFiles\NSEC\P060●Ipguard%SystemRoot%\SysWOW64\wrdlv4.exe%ProgramFiles%\CommonFiles\System\winrdgv3.exe%SystemRoot%\System32\winrdlv3.exe另外關(guān)注當(dāng)前計算機使用翻墻軟件，如：letsvpn，kuailian，QuickQVPN等，這些3.排查是否存在異常文件主要查看低權(quán)限目錄下，是否有近期新增文件，尤其是可執(zhí)行類文創(chuàng)建時間，評估設(shè)備被攻擊的大致時間點。排查過程中，建議截圖或拍照保P061360反勒索服務(wù)集成的日志排查功能，可做為輔助（三）●服務(wù)項排查可通過PCHunter查看服務(wù)情況，通過文件廠商（包括簽名狀態(tài)服務(wù)名稱、服務(wù)P062P062●計劃任務(wù)排查可以結(jié)合發(fā)現(xiàn)的可疑進程排查服務(wù)，通過第三方工具，集中展示類詳細信息，可以較為容易地分辨出可疑服務(wù)。如下圖，描述為WindowsIe的服P063●Run項目與啟動文件夾（四）還可根據(jù)現(xiàn)場情況輔以其他的排查方式。在有線索情況下，可以通過排找到可疑進程。但是如果沒有線索，不建議一般管理員直接排查主機進程聯(lián)網(wǎng)情題數(shù)據(jù)。首先使用網(wǎng)絡(luò)連接排查工具，如360“流量防火墻”，查看設(shè)備中是否存在可疑的進程連接網(wǎng)絡(luò)，或存在系統(tǒng)進程連接境外的服務(wù)器或其他可疑IP。如果發(fā)現(xiàn)有可疑的網(wǎng)絡(luò)連接，則重點排查相應(yīng)的進程，是否本身為木馬，或者加載有木馬模塊，木馬ShellCode等，