企业动态

    “请广大用户务必加强安全意识，对来源不明的文件保持高度警惕，切勿轻易点击。”奇安信天擎技术团队近日监测到银狐木马依然猖獗，几乎每两周就会出现新变种，不仅将财税人员视为主要攻击目标，还部分转向了IT运营人员，对企业信息安全构成严重威胁。       

    什么是银狐木马？         

    银狐木马自2022年末首次露面以来，其活动日益频繁，对网络安全构成严重威胁。该木马通过伪装成含有业务关键词的文档，诱骗用户打开，从而激活病毒。一旦用户上当，黑客便能远程控制受感染的计算机，进行键盘记录、截屏、监控用户操作等，进而窃取用户的敏感数据和财产信息。

    银狐木马攻击不仅限于特定地域或行业，其目标范围在不断漫延，主要针对财务、税务、人事以及IT运营等人员，具有多种传播方式，包括但不限于社交软件、邮件、伪造软件官网、搜索引擎SEO、合法程序二次打包分发等渠道形式。由于不少人因此中招，黑客屡次获利，这使得银狐病毒成为了网络安全领域关注的焦点。

    直观来说，对于来自网络下载、通讯工具传输的陌生文件，需要格外注意，若有必要处理此类文件，应先使用安全软件进行扫描确认无虞后再点击。    

    某通讯工具中以“税务稽查”进行诱导点击

    近期观察：多个黑产集团利用银狐木马作案

    据奇安信威胁情报中心发布的《网络威胁2024年中报告》显示，2024上半年银狐木马黑产团伙使用的诱饵包含大量“财税”、“发票”类话题，意图攻击企事业单位财税等岗位的人员。

    银狐木马黑产团伙使用的钓鱼链接主题示例

    银狐木马黑产团伙继续采用软件安装包伪装和网络钓鱼的方式投递恶意程序。伪装的软件安装包以MSI格式为主，其中除了正常安装程序，还捆绑了木马文件。为了增加受害者的信任，攻击者还会仿照官方软件下载页面搭建虚假的下载站点。

    攻击者网络钓鱼的途径包含电子邮件和即时通讯软件，既有直接投放恶意文件让受害者打开，也有发送钓鱼链接并引诱受害者访问然后下载恶意程序。一旦攻击者通过木马或者远程控制软件掌控了受害者设备，后续还会在即时通讯软件中冒充受害者身份进一步传播恶意程序，扩大攻击范围。

    如何应对？一款优秀EDR产品可对银狐木马“落地即杀”

    经过奇安信天擎技术团队的分析，银狐家族样本大量使用了APT攻击中常见的多阶段执行、内存攻击（内存加载执行、白利用、恢复钩子、进程注入）等高级攻击技术，对一般的杀毒或终端安全软件来说，可以轻松免杀和绕过防御。

    但我们并非无能为力。相反，一款优秀的EDR产品，可对银狐木马实时发现、精准拦截，做到“落地即杀”。以天擎EDR对抗的近期流行的银狐样本为例：

    样本一（27c4e843890f21fd134155019b5cfcaedb75a525）

    该样本通过钓鱼网站传播，伪装成软件安装包，在执行过程中访问远程C2拉取payload，内存加载执行。

    样本执行过程中，天擎EDR成功拦截对抗安全软件监控绕过防护的技术，并成功拦截远程访问C2，阻止加载执行白利用DLL。    

    天擎EDR识别样本关键行为并进行告警，将关键的告警通过关联，形成完整的威胁事件，展示完整的攻击链。

    样本二（6cba2b30b60fcb18aa82930d0ac46badea0fdc8c）

    该样本释放文件，通过白利用（Agghosts.exe白程序加载黑DLL）方式执行恶意代码。

    天擎EDR精准识别与拦截白利用的行为，监控远程访问C2，成功识别为Gh0st家族木马并实时拦截。

    样本三（934e421ddf559cad39abf5ca040cda97e6a47755）

    该样本从资源中解密shellcode并在内存中加载执行，样本将shellcode注入至explorer.exe，借explorer.exe访问远程C2。

    天擎EDR首先能对精准识别到恶行程序并实现拦截，同时借助丰富的威胁情报数据，对攻击行为的网络访问进行拦截。    

    同样，天擎EDR识别样本关键行为并进行告警，将关键的告警通过关联，形成完整的威胁事件，展示完整的攻击链。

    揭秘天擎EDR：卓越性能背后的非凡之处

    奇安信天擎EDR集成了天擎自主研发的多引擎查杀能力，能对文件实时监控和扫描。依托于病毒运营专家对银狐病毒样本的迅速响应机制，天擎EDR能够在银狐病毒样本落地终端之时，实现“落地即杀”，用户可高枕无忧，无需执行额外操作。

    简单来说，奇安信天擎EDR具备以下优势能力：    

    l全面的威胁识别与分析

    天擎EDR具备对高级威胁攻击技术的检测与拦截能力，对银狐家族常用的内存加载执行，白利用，持久化与执行远控等攻击手段，通过安全大数据与机器学习分析，结合内存攻击防护等能力，从事件关联的设备、恶意进程到每个进程运行的详细信息进行清晰呈现，还原威胁全貌并评估响应范围，帮助安全分析人员对威胁建立全面、清晰的认识。

    l丰富的响应处置手段

    根据终端威胁告警的类型及扩散的程度，天擎EDR可提供不同等级的响应手段，如终端隔离、进程隔离、进程删除、样本加黑、网络隔离等，可实现自动化处置，并支持将单次响应固化成全局策略，实现安全基线提高，以持续拦截威胁。

    l领先的威胁溯源与狩猎技术

    天擎EDR提供大数据运营平台，可采集100+种终端行为日志，通过IoA/IoC检测引擎，可对威胁事件关联分析，精准告警，形成富化的可视化上下文详情，进行关联溯源分析。基于AI行为引擎为核心的高级威胁猎捕技术，可利用行为日志自定义，实现高精度多维度的高级威胁狩猎。

    l持续的威胁情报协同运营

    天擎EDR运营平台通过大数据关联分析技术，提供威胁告警/威胁事件孵化的详细信息，帮助运营人员对告警进行研判、溯源。同时，天擎EDR通过标准化接口可与奇安信天眼、安全运营中心（NGSOC）等多种安全管理平台进行联动，协同处置已知的流行威胁和未知的高级威胁，构建从网络威胁检测到终端威胁分析、响应、溯源的完整威胁处理流程，形成立体式高级威胁处置闭环         

    奇安信天擎EDR弥补了传统终端安全产品防御高级威胁能力的不足，已成为众多政企客户的首选，在政府、运营商、金融等行业超过5000万终端，构建了多种混合场景下，针对终端威胁的检测、响应和鉴定的高级威胁对抗能力。天擎EDR的市场表现强劲，营收连续多年保持高速增长，连续四年在终端安全检测与响应（EDR）市场中稳居第一。    

    终端安全防护建议    

    奇安信安全专家再次提醒广大政企单位，需从流程体系、工具配备、文化意识培训等方面加强网络安全防护建设，确保业务的稳定和持续发展，防范银狐木马等安全威胁。

    1.加强员工安全意识培训：定期对员工进行网络安全教育，尤其是财务、人事、商务、IT运维管理员等拥有高级别业务处理权限的团队成员，提高他们对钓鱼邮件、可疑链接和附件的识别能力，避免点击来源不明的链接或下载不明文件。

    2.使用最新的安全软件：安装并更新终端安全防护软件，确保软件能够检测并阻止银狐木马及其他恶意软件的入侵。

    3.建立多层次的防御体系：实施多层次的安全措施，包括网络层、主机层和应用层等的保护，实施细粒度的访问控制策略，以防止恶意攻击者的渗透、提权，攻击暴露面失控。

    4.建立应急响应机制：制定网络安全事件的应急响应计划，以便在发生安全事件时能够迅速响应和处理。

    5.使用专业的安全服务团队：聘请专业的网络安全公司提供安全咨询和支持服务，帮助企业构建和维护强大的网络安全体系。