近日，國家計算機病毒應(yīng)急處理中心和計算機病毒防治技術(shù)國家工程實驗室依托國家計算機病毒分析平臺監(jiān)測發(fā)現(xiàn)木馬病毒最新變種——“銀狐”。大量偽裝成“電子發(fā)票開具成功”的釣魚郵件正在流通，郵件中“點擊下載此發(fā)票”的鏈接，實則為銀狐病毒下載地址。

圖片來源：國家計算機病毒應(yīng)急處理中心官方微博

某單位已出現(xiàn)用戶點擊后終端被控制的情況，境外勢力正通過此類手段對國內(nèi)多個行業(yè)的終端進行針對性滲透。一旦中招，用戶不僅個人數(shù)據(jù)面臨泄露風險，個人賬戶資金安全也將受到嚴重威脅。

經(jīng)驗證，天融信下一代防火墻、EDR、自適應(yīng)安全防御系統(tǒng)、APT安全監(jiān)測系統(tǒng)均可精確檢測并查殺該病毒，提供全面的安全保護，有效阻止該事件蔓延。

病毒樣本分析

天融信諦聽實驗室已獲取該銀狐病毒樣本，并進行技術(shù)分析，其攻擊步驟如下：

用偵殼軟件檢測，無殼

檢測數(shù)字簽名，提示無效

程序運行后，解壓shellcode

將病毒代碼儲存成文件，修復(fù)后，用偵殼軟件檢測，判斷無殼

從pdb信息來看有進程保護功能

獲取當前主機進程列表，查找是否存在以下名稱的進程

判斷是否管理員權(quán)限運行

建立互斥，避免重復(fù)運行

打開指定服務(wù)

獲取進程令牌后，嘗試提權(quán)

準備工作完畢后，開始入侵進程

申請內(nèi)存空間，寫入數(shù)據(jù)

獲取時間，生成隨機數(shù)

如果vss服務(wù)注入失敗，嘗試注入其他指定進程

解密黑客IP

加載文件名和服務(wù)名

檢測指定進程是否存在，如果存在調(diào)整fwp設(shè)置

fwp過濾設(shè)置

加載文件名參數(shù)，生成文件，該文件為驅(qū)動文件，用來對抗殺毒軟件

創(chuàng)建服務(wù)并啟動

獲取指定進程信息

調(diào)用釋放的驅(qū)動文件，對之前獲取的進程處理

新建指定文件

調(diào)用com接口，設(shè)置計劃任務(wù)，將上面生成的文件，設(shè)置開機自啟動

設(shè)置程序自銷毀，將源文件刪除

對指定進程涉及的服務(wù)刪除

銀狐病毒首先通過偽裝成系統(tǒng)核心進程（如svchost.exe、winlogon.exe）注入惡意代碼，破壞系統(tǒng)穩(wěn)定運行；進而通過注冊自啟動服務(wù)和建立隱蔽通信通道（如RPC）實現(xiàn)持久化駐留，長期潛伏于設(shè)備中；在釋放驅(qū)動文件對抗安全軟件并提權(quán)獲取管理員權(quán)限后，大肆竊取用戶隱私及重要敏感數(shù)據(jù)；最終，病毒會與黑客控制服務(wù)器建立連接完成數(shù)據(jù)外泄，并自動刪除源文件銷毀入侵痕跡。

這種隱蔽的入侵手法不僅讓用戶難以察覺異常，還為后續(xù)攻擊埋下隱患，對設(shè)備與數(shù)據(jù)安全構(gòu)成系統(tǒng)性的嚴重威脅。

在此，小天也提醒大家，帶密碼的加密壓縮包并不代表內(nèi)容安全，此次攻擊者為壓縮包設(shè)置了解壓密碼，并在釣魚信息中告知密碼，以此逃過了部分安全軟件的檢測，使其具有更強的傳播能力。

本次攻擊者使用的釣魚信息仍然以偽造官方通知為主，大家要時刻保持警惕性與防范意識，養(yǎng)成更新殺毒軟件的習(xí)慣，及時采取防護措施，謹防各類電信網(wǎng)絡(luò)詐騙活動。

日常，如發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作的情況下被異常關(guān)閉，就要引起警惕，立即切斷網(wǎng)絡(luò)，對重要數(shù)據(jù)進行備份遷移后暫停使用該設(shè)備，待專業(yè)人員檢測、排查確認安全后，再重新投入使用。

天融信產(chǎn)品防御配置指南

天融信下一代防火墻系統(tǒng)防御配置

1、通過訪問控制策略或黑名單禁用“13.230.98.233”等黑客IP地址及RPC協(xié)議，阻斷銀狐病毒通信連接建立；

2、升級到最新病毒特征庫，配置病毒防護策略，檢測并阻斷銀狐病毒，記錄相關(guān)日志；

3、配置郵件過濾功能，將已出現(xiàn)的銀狐病毒郵件內(nèi)容加入黑名單進行過濾；

4、啟用威脅情報功能，實時攔截與銀狐病毒相關(guān)的最新IP或域名等，加快攔截效率；

5、開啟聯(lián)動功能，獲取天融信EDR、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置等產(chǎn)品檢測結(jié)果，及時阻斷內(nèi)網(wǎng)已感染主機橫向傳播，控制網(wǎng)絡(luò)傳播范圍。

天融信EDR系統(tǒng)防御配置

1、啟用郵件監(jiān)控模塊，對接收郵件的附件實施掃描機制，精準攔截含“電子發(fā)票”類釣魚鏈接的惡意郵件，從源頭切斷病毒傳播鏈；

2、開啟文件實時監(jiān)控功能，重點針對“.pdf.exe.doc.exe”等偽裝格式的“電子發(fā)票”類文件進行深度掃描，發(fā)現(xiàn)異常文件立即隔離，防止病毒執(zhí)行與擴散；

3、開啟系統(tǒng)加固功能，可有效攔截該銀狐病毒對系統(tǒng)關(guān)鍵位置進行破壞和篡改。

天融信自適應(yīng)安全防御系統(tǒng)防御配置

1、部署微隔離策略，基于協(xié)議、端口、IP等維度阻斷異常流量通信，構(gòu)建網(wǎng)絡(luò)訪問控制屏障，有效遏制病毒在局域網(wǎng)內(nèi)的橫向擴散風險；

2、建立周期性漏洞掃描機制，覆蓋系統(tǒng)、數(shù)據(jù)庫、中間件等資產(chǎn)，及時修復(fù)可能被病毒利用的安全漏洞，提前消除攻擊面；

3、啟用病毒實時檢測引擎，針對銀狐病毒無殼特性，結(jié)合行為分析技術(shù)對未知病毒進行智能攔截，通過動態(tài)特征識別提升防御精準度。

天融信APT安全監(jiān)測系統(tǒng)檢測配置

1、在安全策略中開啟惡意文件檢測功能后，產(chǎn)品通過威脅情報檢測、病毒檢測、TAI01-固網(wǎng)惡意程序檢測智慧引擎與沙箱檢測等一體化多引擎檢測能力，精準識別流量中的銀狐病毒。

2、在研判處置模塊中查看銀狐病毒檢測結(jié)果，點擊【惡意文件詳情】可獲取病毒特征詳情及沙箱分析報告。

天融信產(chǎn)品獲取方式

● 天融信下一代防火墻系統(tǒng)特征庫下載地址：ftp://ftp.topsec.com.cn/

● 天融信EDR單機版下載地址：http://edr.topsec.com

● 天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用可通過天融信各地分公司獲?。篽ttp://www.gdxsl.cn/contact/

● 天融信APT安全監(jiān)測系統(tǒng)規(guī)則庫獲取方式：https://knowledge.topsec.com.cn/

相關(guān)閱讀

1、央視點名！GoldPickaxe新型AI病毒入侵，你的臉還安全嗎？

2、Money Message勒索病毒突現(xiàn)，天融信多款產(chǎn)品均可防御！

3、LockBit病毒持續(xù)升級，天融信多款產(chǎn)品精準出擊！

4、Mallox勒索病毒來勢洶洶，天融信火速幫您防御！