360披露银狐木马再升级，滥用远程管理系统构建“合法外衣”攻击链

本帖最后由飞机飞行于 2025-11-14 14:26 编辑
近年来，银狐木马在国内持续肆虐，通过伪装成“税务稽查通知”“企业福利补贴”等文件，借助微信群、钓鱼邮件、社交媒体及SEO引流等多渠道传播，精准攻击政府、金融、医疗及制造业的管理与财务人员。其凭借高度的隐蔽性与复杂性对广大政企机构安全构成严重威胁，堪称潜伏在数字防线中的“隐形炸弹”。

近日，360数字安全集团监测发现银狐木马最新更新动向：其开始利用一款由印度Zoho集团开发的企业级远程管理类软件“桌面与终端统一管理系统”作为新载体，可对政企机构内受控主机下发指令，并执行操作。
银狐木马家族长期存在滥用合法IT管理工具的攻击惯例，此次通过将恶意行为隐藏于正常系统管理流量中，既可窃取敏感资料，又能作为后续攻击跳板，形成“合法外衣下的隐蔽攻击链”，危害等级显著提升。
银狐木马新变种来袭
滥用合法软件实施“无声渗透”
银狐木马新变种在初始投递时，常通过构建高仿真钓鱼页面，以财税合规申报、税务补贴通知等名义为诱饵，诱导政企财务人员点击访问。

典型钓鱼页面

一旦有用户访问钓鱼网站后不慎上当，点击钓鱼链接后，通常下载的是一个加密压缩包，文件命名如“sw码12366】.rar”以增强迷惑性。解压后，攻击者通过在“安装须知.txt”中植入指导步骤，诱导用户手动退出360等安全软件，旨在降低系统防御，为木马的持久化驻留与执行铺平道路。

加密压缩包中的文件列表

样本在运行后，首先会尝试提权获取管理员权限，随后调用系统集成的curl、bitsadmin或certutil等工具，下载下一阶段载荷。完成载荷下载后，脚本将对名为“UEMSAgent”的远控软件执行静默安装，并修改其配置文件。如下图所示，被篡改的DCAgentServerInfo.json中已预设位于中国香港的C2服务器地址：103.115.56.103:8383。

被修改后的配置文件

据该公司官网介绍，该软件具备典型的远控功能，如远程文件传输、多显示器支持、会话录制等。值得注意的是，本次攻击并未采用高技术手段或定制木马，而是直接利用合法的管理软件实施控制，已成为银狐木马的典型手法。有时，该组织甚至同时部署多款此类软件，以增强控制。
360终端安全智能体赋能
筑牢银狐木马免疫防线
作为国内唯一兼具数字安全和人工智能双重能力的企业，360结合过去20年积累的强大的样本数据和情报能力及终端安全上1200余项能力点，利用360安全大模型、安全智能体能力重塑终端安全，将杀毒、主动防御、EDR、桌管、准入、DLP、安全桌面等40多项能力模块进行升级，推出国内首个实战应用的终端安全智能体。

为应对此轮银狐木马新变种的攻击，360终端安全智能体对近2000款易被滥用的合法驱动增加了专项防护。由于这些驱动本身并非恶意文件，360终端安全智能体会进行智能化的场景分析，动态判断其行为意图，并对高风险操作进行精准阻断，实现有效防护。
此外，360依托终端安全智能体赋能的云安全立体防护体系，还构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段，该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖，可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测，在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段，比如遭遇掺杂大量干扰文件的多文件攻击，抑或是面对超大文件规避检测的传统伎俩，以及针对加密压缩包和“配置型白利用”等新型攻击方式，该体系皆可依托终端安全智能体赋能的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，从而实现自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并持续监测其后续行为。
对于传输过程中的漏网之鱼，360主动防御系统会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等，360主动防御对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。
在终端处置环节，360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道，为深度清理争取宝贵时间窗口。此外，该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复，也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
据360终端安全智能体监测，近两年被滥用于攻击的合法软件已达数十款，常见包括IPGUARD、阳途、固信、安在等，360终端安全智能体已支持对此类软件的全面检测与一键清理。