近日����,微步發(fā)現(xiàn)并參與處置了多起大型央企���、醫(yī)療機(jī)構(gòu)等被黑產(chǎn)大規(guī)模拉群釣魚�、詐騙錢財?shù)木W(wǎng)絡(luò)安全事件��。經(jīng)過關(guān)聯(lián)分析和綜合研判后���,微步認(rèn)為“銀狐”最新變種正在集中引發(fā)大規(guī)模網(wǎng)絡(luò)攻擊�,廣泛影響中大型企業(yè)�����,累計受影響員工數(shù)千人以上����,堪稱2025開年以來最大規(guī)模的黑產(chǎn)攻擊。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
本次攻擊發(fā)現(xiàn)和處置難度前所未有����,原因如下:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
1. 企業(yè)IM成釣魚攻擊“集散地”����,難以分辨��。攻擊者大量使用企業(yè)IM(如企業(yè)微信)拉群傳播惡意文件和詐騙二維碼��,單位員工分辨較難���,容易受騙�����,因此幾乎每起攻擊事件都會引發(fā)錢財損失�����;ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
2. 釣魚途徑多樣����,誘餌緊貼時事�、高度逼真。攻擊者用以仿冒釣魚的主題包括但不限于稅務(wù)局稽查局�、DeepSeek、谷歌在線翻譯�、公共電子郵件登錄入口�����,甚至偽裝為成人網(wǎng)站��,詳情見后文��。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
3. 黑產(chǎn)攻擊資源豐富,攻擊規(guī)模大���、時間持久���。惡意域名更新頻次極高,惡意樣本變種快�、分布廣,影響企業(yè)數(shù)量極多����,僅限制部分ip黑名單不能完全防范。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
4. 極難發(fā)現(xiàn)和清理����,攻擊反復(fù)。“銀狐”最新變種在免殺對抗和駐留技術(shù)上有極大提升���,導(dǎo)致部分單位的攻擊事件反復(fù)出現(xiàn)��。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
一��、近期銀狐攻擊概覽ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
二���、釣魚手法的超進(jìn)化ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
黑產(chǎn)團(tuán)伙在投遞木馬程序時��,以財稅相關(guān)主題誘餌文件和或部署各類軟件仿冒站點(diǎn)為主�����,使大量企業(yè)受害��。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
在財稅相關(guān)主題誘餌上�����,近期主要以pdf����,html文件為主�����,偽裝為稅務(wù)局稽查局向轄區(qū)企業(yè)進(jìn)行稅務(wù)抽查,投遞虛假公告����,誘導(dǎo)受害者訪問木馬下載地址,下載木馬進(jìn)行遠(yuǎn)控:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
在部署各類軟件仿冒站點(diǎn)時����,攻擊者進(jìn)行模板化部署,釣魚網(wǎng)站更新頻繁多樣����,近期更以DeepSeek等熱點(diǎn)AI工具為主題分發(fā)攜帶后門的木馬程序�,結(jié)合搜索引擎SEO技術(shù),使釣魚網(wǎng)站位列搜索引擎關(guān)鍵字結(jié)果前幾名���,受害者難以分辨����。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
僅以“安裝Flash插件釣魚模板進(jìn)行投毒”手法為例����,3月份就新增的釣魚站點(diǎn)多達(dá)69個:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
此外攻擊者緊跟時事,發(fā)布了偽裝成DeepSeek主題的釣魚網(wǎng)站模板:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
同時����,企業(yè)受害員工電腦被控���,通過微信、企業(yè)微信等IM拉群��、群發(fā)鏈接或者有毒附件的攻擊事件也大量發(fā)生:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
部分受影響企業(yè)的失陷資產(chǎn)在暗網(wǎng)被售賣��,導(dǎo)致反復(fù)出現(xiàn)安全事件:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
三���、免殺技術(shù)的超進(jìn)化ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(1)大量的白加黑應(yīng)用ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
銀狐采用白加黑手法加載同目錄下的黑dll文件��,通過黑dll拉起同目錄下的子進(jìn)程并進(jìn)行解密����,以隱藏銀狐的上線模塊��。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(2)新型注入方法使用ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
詳情如下圖:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(3) 使用多重注入形成斷進(jìn)程鏈的同時��,構(gòu)建注入的白鏈ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
詳情如下圖ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(4)使用rpc遠(yuǎn)程創(chuàng)建計劃任務(wù)和服務(wù)進(jìn)行持久化ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
手法見《銀狐叒進(jìn)化��,溯源不了�����,清理不掉!》但更為完善�����,可以關(guān)注微步在線公眾號了解詳情�。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(5)遠(yuǎn)控工具多樣化ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
目前銀狐木馬采用了各類魔改的gh0st和多樣化的商業(yè)遠(yuǎn)控,如IPGuard�,固信等。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
(6)自保和對抗能力增強(qiáng)ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
此次銀狐會使用多個驅(qū)動保護(hù)自身不被結(jié)束�����,其關(guān)聯(lián)的文件不被刪除���,其創(chuàng)建的持久化項不被清理,確保駐留��。ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
四����、應(yīng)對措施ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
微步建議廣大企業(yè)安全運(yùn)營團(tuán)隊立刻采取措施:ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
1. 積極應(yīng)對活躍黑產(chǎn),成立專項運(yùn)營小組�����、制定計劃;ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
2. 應(yīng)用有效的EDR技術(shù)��,快速發(fā)現(xiàn)威脅并進(jìn)行響應(yīng)�����;ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
3. 提高員工安全意識�,警惕偽裝成內(nèi)部員工拉群的釣魚攻擊,掃描轉(zhuǎn)賬前一定要多方核實��,提高特定部門尤其是財務(wù)的安全意識宣導(dǎo)�。(固原新聞網(wǎng))ZRs即熱新聞——關(guān)注每天科技社會生活新變化gihot.com
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識�,不代表本站觀點(diǎn),若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系���,我們將在第一時間刪除處理��。
微信好友
朋友圈
”分享微信好友Safari瀏覽器請點(diǎn)擊“
”按鈕
QQ