2025銀狐木馬年度報告目前，銀狐木馬已成為國內(nèi)最為活躍的木馬家族。根據(jù)360安全智能體監(jiān)測分析發(fā)現(xiàn)，該木馬家族背后的制作及免殺團伙有超過20個，并且還不斷有新的木馬團伙加入。過去一年，對國內(nèi)政企單位發(fā)起了數(shù)萬起攻擊，給企業(yè)正釘釘、微信等）、仿冒網(wǎng)站以及釣魚郵件。其中，今年通過郵件傳播的比例明工具繼續(xù)向聯(lián)系人發(fā)送惡意文件，借此進一步擴散，清繳”“清明節(jié)放假通知”等周期性事件，或以“領取補貼”“系統(tǒng)退款”私信息也會按類別打包，在暗網(wǎng)批量出售給下分類－售賣”的獨立變現(xiàn)渠道。更值得警惕的是，其已形成“惡意軟件即服務）：全大腦攔截記錄，對銀狐木馬的單日攔截量高峰期曾涉及偽造Telegram釣魚、偽造LetsVPN釣魚、偽造Chrome釣魚、偽裝）：腦統(tǒng)計，僅2025年前11月中，就發(fā)現(xiàn)了967個新型天都有新家族變種出現(xiàn)。而這一態(tài)勢在年初的3、4月和年末的9、10月份尤為明顯，報告截止時，共計有約3萬種新免殺樣本被記錄。其中12月數(shù)據(jù)還）：）：）：異常的壓縮包，導致安全軟件無法完全解壓或進行防護，就可能被繞過。另外，還出現(xiàn)過使用VHD虛擬硬盤格式傳播銀狐木馬的案例。VHD文件本）：這些惡意頁面往往通過SEO優(yōu)化（提高搜索排名）混入正常結果中，甚至有不hxxps://jiaoshou.bj.）：擊附件或下載鏈接，從而在電腦中植入木馬程序。）：直接通過漏洞傳播的銀狐木馬較為少見，一般是通過web漏洞，拿下一些站點進行掛馬傳播。常見被利用的網(wǎng)站漏洞有KindEditor、WordPress、）：同一個變種的用戶木馬在一個地區(qū)或者一個）：它更新的速度非?？?。在攻擊高峰期，我們曾一天就捕獲到超過200個新的免常有一個正常軟件的可執(zhí)行部分（exe），配合木馬DLL與ShellCode文件組這些dll，就獲得了執(zhí)行機會。此時利用這個執(zhí)行機會，加載數(shù)據(jù)文件中的ShellCode執(zhí)行。木馬的核心代碼位于ShellCode文件中，該文件是木馬作者這類“白加黑”方案，通常還會被制作為通用方案，使得“正與ShellCode文件可以隨意替換，dll文件制作成為一個通用的加載器，任意這也是一類常見的落地免殺方式，木馬程序在部署和駐留時以腳本、lnk、）：除了常規(guī)的免殺手段外，銀狐木馬背后的制作團伙顯然對Windows系統(tǒng)的會修改注冊表以接管.NET應用程序域管理行為，進而實現(xiàn)對目標系統(tǒng)的全局影置文件。而該配置文件采用XML格式不修改代碼的情況下調(diào)整應用程序的行為。而當前攻擊案例中的銀狐木馬正在進行了這種配置后，主程序便會在初始化時自動加載文件中指定的會控制WindowsDefender相關功能組件阻斷各類通過解碼這個SiPolicy.p7b的文件內(nèi)容，可以發(fā)現(xiàn)其包含了用戶便會看到如下的系統(tǒng)彈窗彈出。這也就是WindowsDefender在被銀狐木馬單來說，他們發(fā)現(xiàn)了Windows系統(tǒng)中Explorer進程的一類特殊消息指令。攻）：戶層（Ring3）進行，也就是說它們只安全產(chǎn)品檢測到。下面便是利用構造的RPC數(shù)據(jù)包然后調(diào)用系統(tǒng)提供的“accDoDefaultAction”方面，主動調(diào)起殺毒軟件的卸載程序，讓安全軟件利用微軟DCOMIAccessible的特性實現(xiàn)模擬點擊。IAccessible是一個微控件，屬于List控件，對于List控件，提供一個默認的DefaultAction操）：過去，由于Windows對驅動程序的限制較少，攻擊者可以隨意編寫自己的這些能力讓木馬可以輕松對抗安全產(chǎn)品或完成）：馬會選擇一些較少被使用的程序實現(xiàn)該方法。比如，木馬使用FTP靜默執(zhí)行特）：）：計劃任務、服務、注冊表中Run項、啟動目錄是銀狐木馬最常用的駐留方）：嚴格來說，注入ShellCode運行不是獨立的駐留技術。但這項技術配合其馬會讀取adp.xml內(nèi)容，將其加載到內(nèi)存中執(zhí)行，并注入系統(tǒng)的桌面進程）：另一種方式是劫持系統(tǒng)的庫文件，比如利用Windows的THKEY_CLASSES_ROOT\TypeLib\{GUID}\<veHKEY_CLASSES_ROOT\TypeLib\{GUID}\<v件單，Gh0st的源代碼是公開的，任何木馬開發(fā)者都可以在其基礎上進行修改、眾多、更新快、功能靈活，成為許多木馬團）：比如今年我們新捕獲的一款被利用遠控，攻擊者會濫用名為UEMSAgent的款軟件，然后篡改其配置文件（如DCAgentServerInfo.json），將原本的服務據(jù)UEMSAgent官網(wǎng)介紹，該軟件有遠控軟件常用的功能。例如遠端檔案傳輸、多監(jiān)視器支持、錄制遠端會話等，除此之外還）：有銀狐木馬攻擊者使用ScreenConnect，第三只眼、超級眼遠控、超級網(wǎng)控等商）：）：裝實現(xiàn)傳播。同時借助前文提到的各類技術手段，向監(jiān)控。這樣不僅能獲取受害人的微信、QQ等社交軟件聊天記錄，還能掌握企業(yè)對領導的服從性和工作的緊迫性需求誘導其在未充分核實信息真?zhèn)蔚那闆r下完）：）：）：在2025年度，360共監(jiān)控到了超過20個活躍的銀狐木馬制作團伙，而我們分析了從2023年5月到當前新增的木馬制作團伙。從2024年11擊者占到總量的62.29%，而即便只看2025年下半年，高度活躍的攻擊者占到），用了香港地區(qū)的虛擬主機用作代理或專用于木馬傳播。云南地區(qū)，主要是由于IP解析定位不夠準確，部分東南亞地區(qū)的）：其他渠道難保不會暗藏木馬或捆綁軟件，尤其不）：在完成處置后，仍建議使用安全軟件對設備進行掃描如：PCHunter、YDark、ProcExp、Autoruns主要是以Everything為代表的工具軟件主要是Promon這類進程監(jiān)控類工具）：這個問題是木馬利用了WindowsDefenderApplicationControl(WDAC)來在確保系統(tǒng)只運行受信任的應用程序。但Windo臨時排查方式，可以查找下列路徑下，是否有*.p7b文件，嘗試刪除該文C:\Windows\System32\Co文件內(nèi)容，不轉碼情況下，也能看到部分信息（p7b、cip本身是一個二進）：攻擊者通過添加Windows組策略或AppLocker規(guī)則，限制安全防護軟件常規(guī)網(wǎng)絡配置，包括ip地址、網(wǎng)關、子網(wǎng)掩碼、DNS等常見配置項。銀防火墻策略，除一般策略外，還需要排查WPF策略(WFPExplorer)，網(wǎng)絡）：如下面情況，路徑偽裝為Web服務器路徑，但對應的產(chǎn)品卻是一個游戲組銀狐激活時，通常會選擇注入系統(tǒng)進程，常被注入的系統(tǒng)進程有等工具查看這些系統(tǒng)進程中的DLL模塊，排查是否有異常模塊。部分銀狐使用純ShellCode的方式進行注入，可通過線程地%ProgramFiles%\CommonFiles\NSEC\%SystemRoot%\SysWOW64\wrdlv4.exe%ProgramFiles%\CoFiles\System\winrdgv3.exe%SystemRoC:\Users\Public\Downloads（%PUBLIC%/Downloads）C:\Users\Public\PicturC:\Users\Public\Videos（%PUBLIC%/Videos）C:\Users\Public\Music360反勒索服務集成的日志排查功能，可作為輔助排查工具，加快排查進）：銀狐的常見駐留方式包括：Run項、啟可通過PCHunter查看服務情況，通過文件廠商（包括簽名狀態(tài)服務名執(zhí)行參數(shù)方式啟動。文件廠商信息空缺，與任務的各類詳細信息，可以較為容易地分辨出可疑服務。如下圖，描述為）：首先使用網(wǎng)絡連接排查工具，如360“流量防火墻”查看設備中是否存在）：●對易被攻擊者利用的辦公通信軟件（如釘釘、微信、QQ發(fā)現(xiàn)可疑文件后，使用360安全衛(wèi)士的文件隔離功能，將文件隔離至安全通過360安全衛(wèi)士的網(wǎng)絡連接監(jiān)控功能，對可