本次攻擊發(fā)現(xiàn)和處置難度前所未有，原因如下：

1. 企業(yè)IM成釣魚(yú)攻擊“集散地”，難以分辨。攻擊者大量使用企業(yè)IM(如企業(yè)微信)拉群傳播惡意文件和詐騙二維碼，單位員工分辨較難，容易受騙，因此幾乎每起攻擊事件都會(huì)引發(fā)錢(qián)財(cái)損失;

2. 釣魚(yú)途徑多樣，誘餌緊貼時(shí)事、高度逼真。攻擊者用以仿冒釣魚(yú)的主題包括但不限于稅務(wù)局稽查局、DeepSeek、谷歌在線翻譯、公共電子郵件登錄入口，甚至偽裝為成人網(wǎng)站，詳情見(jiàn)后文。

3. 黑產(chǎn)攻擊資源豐富，攻擊規(guī)模大、時(shí)間持久。惡意域名更新頻次極高，惡意樣本變種快、分布廣，影響企業(yè)數(shù)量極多，僅限制部分ip黑名單不能完全防范。

4. 極難發(fā)現(xiàn)和清理，攻擊反復(fù)。“銀狐”最新變種在免殺對(duì)抗和駐留技術(shù)上有極大提升，導(dǎo)致部分單位的攻擊事件反復(fù)出現(xiàn)。

一、近期銀狐攻擊概覽

二、釣魚(yú)手法的超進(jìn)化

黑產(chǎn)團(tuán)伙在投遞木馬程序時(shí)，以財(cái)稅相關(guān)主題誘餌文件和或部署各類(lèi)軟件仿冒站點(diǎn)為主，使大量企業(yè)受害。

在財(cái)稅相關(guān)主題誘餌上，近期主要以pdf，html文件為主，偽裝為稅務(wù)局稽查局向轄區(qū)企業(yè)進(jìn)行稅務(wù)抽查，投遞虛假公告，誘導(dǎo)受害者訪問(wèn)木馬下載地址，下載木馬進(jìn)行遠(yuǎn)控：

在部署各類(lèi)軟件仿冒站點(diǎn)時(shí)，攻擊者進(jìn)行模板化部署，釣魚(yú)網(wǎng)站更新頻繁多樣，近期更以DeepSeek等熱點(diǎn)AI工具為主題分發(fā)攜帶后門(mén)的木馬程序，結(jié)合搜索引擎SEO技術(shù)，使釣魚(yú)網(wǎng)站位列搜索引擎關(guān)鍵字結(jié)果前幾名，受害者難以分辨。

僅以“安裝Flash插件釣魚(yú)模板進(jìn)行投毒”手法為例，3月份就新增的釣魚(yú)站點(diǎn)多達(dá)69個(gè)：

此外攻擊者緊跟時(shí)事，發(fā)布了偽裝成DeepSeek主題的釣魚(yú)網(wǎng)站模板：

同時(shí)，企業(yè)受害員工電腦被控，通過(guò)微信、企業(yè)微信等IM拉群、群發(fā)鏈接或者有毒附件的攻擊事件也大量發(fā)生：

部分受影響企業(yè)的失陷資產(chǎn)在暗網(wǎng)被售賣(mài)，導(dǎo)致反復(fù)出現(xiàn)安全事件：

三、免殺技術(shù)的超進(jìn)化

(1)大量的白加黑應(yīng)用

銀狐采用白加黑手法加載同目錄下的黑dll文件，通過(guò)黑dll拉起同目錄下的子進(jìn)程并進(jìn)行解密，以隱藏銀狐的上線模塊。

(2)新型注入方法使用

詳情如下圖：

(3) 使用多重注入形成斷進(jìn)程鏈的同時(shí)，構(gòu)建注入的白鏈

詳情如下圖

(4)使用rpc遠(yuǎn)程創(chuàng)建計(jì)劃任務(wù)和服務(wù)進(jìn)行持久化

手法見(jiàn)《銀狐叒進(jìn)化，溯源不了，清理不掉!》但更為完善，可以關(guān)注微步在線公眾號(hào)了解詳情。

(5)遠(yuǎn)控工具多樣化

目前銀狐木馬采用了各類(lèi)魔改的gh0st和多樣化的商業(yè)遠(yuǎn)控，如IPGuard，固信等。

(6)自保和對(duì)抗能力增強(qiáng)

此次銀狐會(huì)使用多個(gè)驅(qū)動(dòng)保護(hù)自身不被結(jié)束，其關(guān)聯(lián)的文件不被刪除，其創(chuàng)建的持久化項(xiàng)不被清理，確保駐留。

四、應(yīng)對(duì)措施

微步建議廣大企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)立刻采取措施：

1. 積極應(yīng)對(duì)活躍黑產(chǎn)，成立專(zhuān)項(xiàng)運(yùn)營(yíng)小組、制定計(jì)劃;

2. 應(yīng)用有效的EDR技術(shù)，快速發(fā)現(xiàn)威脅并進(jìn)行響應(yīng);

3. 提高員工安全意識(shí)，警惕偽裝成內(nèi)部員工拉群的釣魚(yú)攻擊，掃描轉(zhuǎn)賬前一定要多方核實(shí)，提高特定部門(mén)尤其是財(cái)務(wù)的安全意識(shí)宣導(dǎo)。

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如有侵權(quán)行為，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。