2025银狐木马年度报告
- 2026-01-19 16:17:58
前言
“银狐木马”,又名“游蛇”或“谷堕大盗”等,该名称因为被广泛使用,现已不再指 代某一特定家族木马,而是逐渐变为对一类木马程序的通称。其主要是依托钓鱼攻击进行传 播的一类远程控制类木马,攻击目标以政企单位用户为主。
目前,银狐木马已成为国内最为活跃的木马家族。根据360安全智能体监测分析发现, 该木马家族背后的制作及免杀团伙有超过20个,并且还不断有新的木马团伙加入。过去一 年,对国内政企单位发起了数万起攻击,给企业正常经营与生产安全造成了极大的影响。
目录
第一章 银狐木马概况
一、目标人群及攻击范围变化
二、获利方式调整
三、查杀趋势变化
(一)木马查杀
(二)新增变种
四、攻击地域与时间
(一)地域分布
(二)时段分布
第二章 银狐木马的技术演进
一、传播方式
(一)IM传播类
(二)网站传播类
(三)邮件传播类
(四)漏洞传播类
(五)企业横向传播
二、木马潜伏
三、攻防对抗技术
(一)常规免杀手法
(二)利用系统特性
(三)防护产品弱点利用
(四)第三方组件利用
四、驻留技术
(一)无文件与LOLBAS驻留
(二)利用合法软件进行驻留,打造“永久免杀”后门
(三)使用各类系统自启动项驻留
(四)通过注入ShellCode驻留运行
(五)通过软件劫持驻留运行
五、远控木马与远程控制
(一)自制远控
(二)利用合法远程工具
(三)购买商业远控
(四)使用企业管理软件
六、获利途径
(一)转账诈骗
(二)扫码电诈
(三)窃取虚拟货币数字资产
(四)投递勒索软件
七、制作团伙
第三章 银狐木马应对方案
一、威胁预防
(一)识别钓鱼
(二)识别群消息
二、排查与现场处置
三、中招设备排查与木马应急阻断
(一)环境排查
(二)进程与文件排查
(三)驻留排查
(四)通信类排查
(五)排查原则与应急阻断
四、攻击溯源采样
五、银狐木马清理
(一)常规清理
(二)顽固木马清理
(三)再次检查
(四)安全加固措施
点击链接查看完整报告:
