首页> 新闻> 正文
360独家发布《银狐木马年度报告》,深度剖析网络威胁“隐形炸弹”
来源:雷竞技app下载安卓
作者:雷竞技app下载安卓
2026-01-07 15:11:03
扫码分享到微信
关闭
【雷竞技app下载安卓
讯】近年来,银狐木马持续对我国政企机构构成重大安全威胁。该木马自2020年首次现身以来,初期传播范围有限,直至2022年9月进入集中爆发阶段。进入2025年后,其传播态势呈现显著飙升态势,已从最初的单一病毒样本演变为远程控制木马家族的统称,长期针对政府、金融、医疗及制造业的管理与财务人员实施隐蔽攻击,成为潜伏在数字网络中的“隐形炸弹”。
为应对日益严峻的银狐木马威胁,360数字安全集团基于二十年实战攻防及持续一线对抗经验,首次独家发布《银狐木马年度报告》,系统剖析其传播态势与技术演进。
报告披露,该木马背后已聚集超过20个制作与免杀团伙,且仍有新团伙持续加入。仅过去一年间,该木马已向国内政企单位发起数万起精准攻击,显著加剧了政企机构内网安全防护难度,对关键基础设施安全运营构成严峻挑战。
为此,报告还针对性提出体系化的防御方案,旨在有效构建多维度应对能力,切实提升对银狐木马威胁的抵御效能,为关键业务系统构筑起动态防护屏障。
攻击策略由精转广
传播量级持续攀升
报告显示,在过去的一年间,银狐木马在攻击目标、传播范围、获利模式及对抗查杀等方面均呈现显著演变,威胁态势持续升级。
首先,其攻击策略从“精准打击”转向“广泛撒网”:过去针对财务、高管等关键岗位,通过窃取账号诱导大额转账(单笔达百万级),与电信诈骗深度绑定;如今转为小额诈骗(单笔2000-3000元),利用“企业所得税汇算”“清明放假通知”等周期性场景或“补贴领取”“系统退款”等话术,通过微信群发、钓鱼网站广泛传播,受害人群扩展至普通用户及海外华人。木马感染后还会自动收集信息,利用已登录社交账户转发恶意文件,实现链式扩散,部分变种可窃取数字货币钱包私钥,直接盗取数字资产。
背后获利链条呈现多元化、产业化特征:受控设备被转卖为“跳板机”,窃取数据在暗网分类贩卖,形成“恶意软件即服务(MaaS)”模式,甚至为勒索软件铺垫攻击,形成多维危害生态。
整体态势呈现高频迭代、传播激增、变种暴涨特点:免杀版本分钟级更新,单日数百次迭代;工作日日均查杀量超5万次,高峰周传播量破90万次,单日拦截峰值超20万次;年内拦截钓鱼站点逾1万个,7月日均新增数百个,11月处置6000个境外站点;同期发现967个新变种,累计记录近3万种新免杀样本,3-4月及9-10月尤为活跃。
此外,攻击集中于境内,广东、山东、江苏受攻击量居前三,与地区人口、经济及政企设备量相关;攻击时段呈现规律性高峰,每日10点及14-16点与目标人群工作时间吻合,高峰期每秒数百台设备受袭。为应对该木马威胁,360安全智能体2025年内已更新超156项专项防护方案。
攻击链产业化成型
技术体系持续演进
银狐木马成为当前最具威胁的恶意程序,关键在于其背后已形成分工明确、环节完整的产业化攻击链,覆盖传播、潜伏、对抗、驻留、远控直至获利全过程,显著提升了其生存能力与危害性,使得防御与追溯极为困难。
传播方式上,其核心是借助微信、钉钉等即时通讯工具,利用已登录账号通过社交关系链快速扩散伪装文件。其次,攻击者还会搭建仿冒办公及常用软件的钓鱼网站,并通过SEO或广告提升搜索排名以诱导访问。此外,木马也利用钓鱼邮件、常见Web应用漏洞进行传播,并在企业内部通过窃取的社交关系实现横向扩散,大幅增加防控难度。
潜伏策略上,银狐木马已从过去长达数周或数月的长期潜伏,转向“短平快”模式:控制设备后通常在1至3天内完成信息收集并迅速用于二次传播或诈骗。这一变化主要源于安全厂商检测效率的提升,迫使攻击者缩短操作窗口以避免木马被快速清除。
攻防对抗上,银狐木马综合运用多种技术:采用加壳、“白加黑”等免杀手法规避静态检测;滥用.NET框架机制、篡改WDAC策略等系统特性提升隐蔽性;通过模拟用户操作、篡改安全配置等方式绕过动态防护;并滥用第三方合法驱动程序对抗安全进程。这些持续演进的技术使其得以维持高威胁态势。
驻留技术上,该木马采用的手段包括滥用系统工具进行无文件驻留、部署合法远程管理软件建立隐蔽后门、利用计划任务等服务实现自启动、将ShellCode注入关键进程隐藏行踪,以及通过劫持常用软件组件或系统TypeLib实现随合法程序激活。
远程控制上,其方式呈现多样化:既使用自研的Gh0st、WinOS等变种,也滥用AnyDesk等合法远程工具,或直接购买商业远控软件,最隐蔽的是滥用IPGUARD、阳途等企业管理软件“合法外衣”持久控制。近两年,360发现数十款被滥用软件,并推出检测与一键清理方案,持续助力政企机构有效应对。
获利方式上,则主要包括四类:冒充领导实施转账诈骗;以补贴通知为名诱骗扫码,窃取支付信息;监控并劫持钱包地址盗取虚拟货币;以及作为前置工具投递勒索软件。这表明其已从单一诈骗工具演变为支撑多样化黑产变现的攻击平台。
2025年中,360监测到超20个活跃团伙,其中超六成在全年保持高度活跃。攻击者呈现跨国分布特征,境外主要集中在东南亚地区,占攻击源的36.4%,越南尤为突出;境内则以广东和香港为主要聚集地。整体上,银狐木马团伙活跃度显著上升,且与电诈从业人员关联密切,威胁持续泛化与升级。
360终端安全智能体蜂群赋能
全面抵御银狐木马威胁
对于各类安全威胁,预防始终是应对的第一道防线。针对银狐木马,最有效的预防在于用户能够主动识别常见钓鱼信息,并严格遵守相关安全规范,从而显著提高攻击者的实施难度。360建议政企机构保持高度警惕,并采取体系化、针对性的防护措施,筑牢安全屏障。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360在自研安全大模型的赋能下,将安全专家的能力和经验进行固化,并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点,打造出终端安全智能体蜂群。
为有效应对银狐木马威胁,360依托终端安全智能蜂群体赋能的云安全立体防护体系,构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段,该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖,可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测,在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段,比如遭遇掺杂大量干扰文件的多文件攻击,抑或是面对超大文件规避检测的传统伎俩,以及针对加密压缩包和“配置型白利用”等新型攻击方式,该体系皆可依托终端安全智能体蜂群赋能的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,从而实现自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并持续监测其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等,360主动防御对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
在终端处置环节,360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道,为深度清理争取宝贵时间窗口。此外,该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复,也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
据360终端安全智能体蜂群监测,近两年被滥用于攻击的合法软件已达数十款,常见包括IPGUARD、阳途、固信、安在等,360终端安全智能体蜂群已支持对此类软件的全面检测与一键清理。
目前,360云安全立体防护体系已经实现对银狐木马病毒的全面查杀,建议广大政企机构尽快部署。
为应对日益严峻的银狐木马威胁,360数字安全集团基于二十年实战攻防及持续一线对抗经验,首次独家发布《银狐木马年度报告》,系统剖析其传播态势与技术演进。
报告披露,该木马背后已聚集超过20个制作与免杀团伙,且仍有新团伙持续加入。仅过去一年间,该木马已向国内政企单位发起数万起精准攻击,显著加剧了政企机构内网安全防护难度,对关键基础设施安全运营构成严峻挑战。
为此,报告还针对性提出体系化的防御方案,旨在有效构建多维度应对能力,切实提升对银狐木马威胁的抵御效能,为关键业务系统构筑起动态防护屏障。
攻击策略由精转广
传播量级持续攀升
报告显示,在过去的一年间,银狐木马在攻击目标、传播范围、获利模式及对抗查杀等方面均呈现显著演变,威胁态势持续升级。
首先,其攻击策略从“精准打击”转向“广泛撒网”:过去针对财务、高管等关键岗位,通过窃取账号诱导大额转账(单笔达百万级),与电信诈骗深度绑定;如今转为小额诈骗(单笔2000-3000元),利用“企业所得税汇算”“清明放假通知”等周期性场景或“补贴领取”“系统退款”等话术,通过微信群发、钓鱼网站广泛传播,受害人群扩展至普通用户及海外华人。木马感染后还会自动收集信息,利用已登录社交账户转发恶意文件,实现链式扩散,部分变种可窃取数字货币钱包私钥,直接盗取数字资产。
背后获利链条呈现多元化、产业化特征:受控设备被转卖为“跳板机”,窃取数据在暗网分类贩卖,形成“恶意软件即服务(MaaS)”模式,甚至为勒索软件铺垫攻击,形成多维危害生态。
整体态势呈现高频迭代、传播激增、变种暴涨特点:免杀版本分钟级更新,单日数百次迭代;工作日日均查杀量超5万次,高峰周传播量破90万次,单日拦截峰值超20万次;年内拦截钓鱼站点逾1万个,7月日均新增数百个,11月处置6000个境外站点;同期发现967个新变种,累计记录近3万种新免杀样本,3-4月及9-10月尤为活跃。
此外,攻击集中于境内,广东、山东、江苏受攻击量居前三,与地区人口、经济及政企设备量相关;攻击时段呈现规律性高峰,每日10点及14-16点与目标人群工作时间吻合,高峰期每秒数百台设备受袭。为应对该木马威胁,360安全智能体2025年内已更新超156项专项防护方案。
攻击链产业化成型
技术体系持续演进
银狐木马成为当前最具威胁的恶意程序,关键在于其背后已形成分工明确、环节完整的产业化攻击链,覆盖传播、潜伏、对抗、驻留、远控直至获利全过程,显著提升了其生存能力与危害性,使得防御与追溯极为困难。
传播方式上,其核心是借助微信、钉钉等即时通讯工具,利用已登录账号通过社交关系链快速扩散伪装文件。其次,攻击者还会搭建仿冒办公及常用软件的钓鱼网站,并通过SEO或广告提升搜索排名以诱导访问。此外,木马也利用钓鱼邮件、常见Web应用漏洞进行传播,并在企业内部通过窃取的社交关系实现横向扩散,大幅增加防控难度。
潜伏策略上,银狐木马已从过去长达数周或数月的长期潜伏,转向“短平快”模式:控制设备后通常在1至3天内完成信息收集并迅速用于二次传播或诈骗。这一变化主要源于安全厂商检测效率的提升,迫使攻击者缩短操作窗口以避免木马被快速清除。
攻防对抗上,银狐木马综合运用多种技术:采用加壳、“白加黑”等免杀手法规避静态检测;滥用.NET框架机制、篡改WDAC策略等系统特性提升隐蔽性;通过模拟用户操作、篡改安全配置等方式绕过动态防护;并滥用第三方合法驱动程序对抗安全进程。这些持续演进的技术使其得以维持高威胁态势。
驻留技术上,该木马采用的手段包括滥用系统工具进行无文件驻留、部署合法远程管理软件建立隐蔽后门、利用计划任务等服务实现自启动、将ShellCode注入关键进程隐藏行踪,以及通过劫持常用软件组件或系统TypeLib实现随合法程序激活。
远程控制上,其方式呈现多样化:既使用自研的Gh0st、WinOS等变种,也滥用AnyDesk等合法远程工具,或直接购买商业远控软件,最隐蔽的是滥用IPGUARD、阳途等企业管理软件“合法外衣”持久控制。近两年,360发现数十款被滥用软件,并推出检测与一键清理方案,持续助力政企机构有效应对。
获利方式上,则主要包括四类:冒充领导实施转账诈骗;以补贴通知为名诱骗扫码,窃取支付信息;监控并劫持钱包地址盗取虚拟货币;以及作为前置工具投递勒索软件。这表明其已从单一诈骗工具演变为支撑多样化黑产变现的攻击平台。
2025年中,360监测到超20个活跃团伙,其中超六成在全年保持高度活跃。攻击者呈现跨国分布特征,境外主要集中在东南亚地区,占攻击源的36.4%,越南尤为突出;境内则以广东和香港为主要聚集地。整体上,银狐木马团伙活跃度显著上升,且与电诈从业人员关联密切,威胁持续泛化与升级。
360终端安全智能体蜂群赋能
全面抵御银狐木马威胁
对于各类安全威胁,预防始终是应对的第一道防线。针对银狐木马,最有效的预防在于用户能够主动识别常见钓鱼信息,并严格遵守相关安全规范,从而显著提高攻击者的实施难度。360建议政企机构保持高度警惕,并采取体系化、针对性的防护措施,筑牢安全屏障。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360在自研安全大模型的赋能下,将安全专家的能力和经验进行固化,并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点,打造出终端安全智能体蜂群。
为有效应对银狐木马威胁,360依托终端安全智能蜂群体赋能的云安全立体防护体系,构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。
在木马传播的初始阶段,该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖,可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测,在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段,比如遭遇掺杂大量干扰文件的多文件攻击,抑或是面对超大文件规避检测的传统伎俩,以及针对加密压缩包和“配置型白利用”等新型攻击方式,该体系皆可依托终端安全智能体蜂群赋能的智能分析系统,将安全专家的分析经验汇集于模型之中,快速从各类扫描数据中找出符合以上攻击特性的样本,从而实现自动阻断拦截。此外,还会对无法识别的可疑文件进行标记,并持续监测其后续行为。
对于传输过程中的漏网之鱼,360主动防御系统会对用户电脑提供强力保护。近期,银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等,360主动防御对这些攻击均能进行有效防御,并对发现的漏网之鱼进行清剿。
在终端处置环节,360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道,为深度清理争取宝贵时间窗口。此外,该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复,也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
据360终端安全智能体蜂群监测,近两年被滥用于攻击的合法软件已达数十款,常见包括IPGUARD、阳途、固信、安在等,360终端安全智能体蜂群已支持对此类软件的全面检测与一键清理。
目前,360云安全立体防护体系已经实现对银狐木马病毒的全面查杀,建议广大政企机构尽快部署。
没有了
你可能也喜欢这些文章
