请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题

银狐肆虐

       “银狐木马”家族从2023年起在国内肆虐,该家族木马通常用钓鱼网页、即时通信工具、邮箱等方式向众多行业的从业人员投递钓鱼远控木马。在黑产团伙中该家族被广泛应用,并且不同团伙采用的攻击手法各异,加载“银狐”的方式也层出不穷,最终呈现的“银狐”木马版本也各有差异。

       此家族木马主要目标是企业和机构内的管理、财务、销售及电商人员,通过精心设计和投递远控木马实施钓鱼攻击。一旦成功感染受害者计算机,木马可长期驻留并窃取敏感信息,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信等)发起诈骗。

       近期,银狐木马对抗技术又出现了新的变化。根据用户反馈,当有该家族木马在机器上运行后,360的防御检测系统会第一时间检测到危险并进行弹窗拦截。但是该木马并未就此罢休——新版本的银狐会利用模拟鼠标点击的方式试图点击拦截弹窗的“允许”按钮,以此让木马继续运行。

       不过360对此也早有布局——当前最新版本的360主动防御系统已经可以对此类攻击方式进行有效的拦截。

360社区

360社区


图1. “模拟按键”拦截记录


木马分析

       下面,通过一个受害用户的真实案例对银狐木马这一次的最新典型变种样本进行技术层面的分析说明。该典型木马样本是通过钓鱼手段误导用户主动下载到机器中并进一步执行的。木马主体伪装成安装包程序,并以“T20.1setupInstall.exe”命名。

       程序一旦被执行,便会在“%ProgramFiles%\安装项目1”路径下释放一组白利用木马程序,其被利用的主体白程序名为srcds_x64.exe。该程序本身并无恶意,但在执行后会加载同目录下的NGClient64.aes文件。

360社区

360社区


图2. 木马释放到“%ProgramFiles%\安装项目1”路径下的白利用程序


       而一旦srcds_x64.exe加载了NGClient64.aes文件后,便会在内存中对其进行解密,最终在内存中到一个存在恶意可执行代码的动态链接库(DLL)文件。通过分析后发现被加载的这个DLL会一直监控系统中是否出现了金山、火绒、360等安全软件的拦截弹窗。而一旦发现了弹窗,DLL则会调用mouse_event进行更进一步的模拟点击操作。

360社区

360社区


图3. 恶意代码监控拦截弹窗


       此外,该变种木马显然也是提前做足了“功课”——其恶意代码针对360的主动防御系统除了调用通常的mouse_event函数外,还会进行一项额外的“双保险”操作,即调用NtUserInjectMouseInput函数再次尝试进行模拟点击。

360社区

360社区


图4. 模拟点击“双保险”


       也就是在这一步操作中,360安全大脑客户端会通过在系统内早已部署好的监控点,有效发现木马对这类敏感的系统函数进行调用。故此,在木马程序进行这种对用户操作极端近似的模拟操作时,360安全大脑便可以第一时间有效拦截。

360社区

360社区


图5. 360安全大脑拦截模拟鼠标点击操作


       而除了进行模拟点击来进行“自助式放行”操作外,该木马还会窃取用户机器的信息。窃取的信息包括了计算机名称、防病毒软件、操作系统详细信息和硬件ID等信息。

360社区

360社区


图6. 木马窃取系统信息


       此外,加载插件、键盘记录、截屏、获取粘贴板数据、录音等功能也是该家族木马的常规操作了。

360社区

360社区


图7. 银狐木马的其他“常规能力”


       同时,木马还会通过在注册表中添加自启动项以及添加系统计划任务等方式实现随系统运行和在系统内的长期驻留。

360社区

360社区


图8. 木马添加注册表启动项


360社区

360社区


图9. 木马添加系统计划任务


拦截防护
       360安全大脑在银狐木马的主体程序刚刚进入到系统内时便已可以有效拦截。

360社区

360社区


图10. 360安全大脑拦截木马主体程序


       而亦如报告开篇所述,虽然新变种的银狐木马已对安全软件的防护开启了“还击”手段,但360也已是早有部署。

       同时,我们也建议用户开启360的“远控·勒索急救”功能,可以对包括银狐木马在内的各类远控、勒索类恶意程序进行更加具有针对性的监控和拦截,守护用户系统安全。

360社区

360社区


图11. “远控·勒索急救”功能


360社区

360社区


图12. “远控·勒索急救”专项体检


安全建议

  • 安装并确保开启安全软件,保证其对本机的安全防护。
  • 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件。
  • 下载软件、文件时,注意识别下载地址,谨防钓鱼页面,推荐使用带有防钓鱼功能的360安全浏览器进行访问。
  • 如果曾经运行过此类木马或者怀疑设备已经中招,可以尽快使用360终端安全产品进行检测查杀。

























瞿小凯 + 3 经验 很给力!

共 9 个关于【安全资讯】银狐的反击——模拟点击放行拦截弹窗的回复 最后回复于 2024-12-5 14:17

评论

直达楼层

狂仙_2012 VIP认证 版主 发表于 2024-11-23 17:00 | 显示全部楼层 | 私信

IP属地: 河南省

360fans_uid169000 LV5.少尉 发表于 2024-11-24 02:37 | 显示全部楼层 | 私信

IP属地: 广东省

强大的360,
360fans_wWASHw LV1.上等兵 发表于 2024-11-26 18:31 | 显示全部楼层 | 私信

IP属地: 山东省

无敌的360
360fans350258956 LV2.下士 发表于 2024-11-26 20:14 | 显示全部楼层 | 私信

IP属地: 广东省

如果误点击了信任怎么办
360fans149573114 LV1.上等兵 发表于 2024-11-26 21:07 | 显示全部楼层 | 私信

IP属地: 河南省

看不懂啊
360fans348000355 LV1.上等兵 发表于 2024-12-1 09:47 | 显示全部楼层 | 私信

IP属地: 广东省

模拟点击我不需要,远程控制我不需要,但是截图我需要。所以,我可不可以选择性开启防护。
360fans_Kjzkj8 LV1.上等兵 发表于 2024-12-3 11:13 | 显示全部楼层 | 私信

IP属地: 未知

查杀后360安全卫士无法清除,怎么办
360fans_P1jPRG LV1.上等兵 发表于 2024-12-4 17:58 | 显示全部楼层 | 私信

IP属地: 河北省

很给力!
360fans_HkMvvC LV1.上等兵 发表于 2024-12-5 14:17 | 显示全部楼层 | 私信

IP属地: 北京市

我们公司已经中招,企业微信全员群出现此类病毒传播

360社区

360社区

您需要登录后才可以回帖 登录 | 注册

本版积分规则

360电脑专家003 产品答疑师

粉丝:70 关注:1 积分:18918

精华:62 金币:16224 经验:12024

IP属地: 未知

最后登录时间:2024-12-6

私信 加好友

最新活动

【体验评审官第二期】参与投票,抽取京东卡

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表