近年來，一款名爲“銀狐木馬”（又稱“遊蛇”）的惡意程序在國內及亞太地區悄然肆虐，其攻擊目標精准鎖定政府機構、金融、醫療及制造業的高價值崗位人員（如財會、高管等），以狡猾的僞裝手段和複雜的技術鏈條，成爲企業安全防禦體系中的“隱形炸彈”。

據悉，這是一種具有高度隱蔽性和複雜功能的惡意軟件，“毒如其名”，善于僞裝，就像一只狡猾的狐狸，潛伏在財稅/政務領域，常常僞裝成“財會發票”“稅務稽查通知”“企業福利補貼名單”等文件，以迷惑用戶點擊。其傳播渠道廣泛，包括微信群、釣魚郵件、各類社交媒體等，還利用搜索引擎競價排名、SEO引流等手段誘導用戶下載，使用戶防不勝防。

“狡詐銀狐”持續進化?入侵手段層出不窮

自2019年首 次曝光以来，银狐已迭代多个版本，持续增强免杀对抗与持久化驻留能力。最 新变种在攻击手段上更为狡猾和复杂，它充分利用人性弱点，伪装吸引用户点击下载到 PC 上，并通过多阶段内存加载、白加黑劫持、驱动级对抗等先进技术手段，巧妙地规避杀软检测，形成了“传播-驻留-窃密”的全链路攻击闭环。一旦获得终端权限，银狐或潜伏监视，长期收集用户数据，或直接操控受害机器拉群传播木马和实施二维码诈骗，直接威胁企业核心资产与个人隐私安全，堪称企业安全的“隐形炸弹”。

当前，银狐入侵手段层出不穷，最 新版本通过四大手段突破传统防御:

一是伪造官方机构通知，借时事熱點钓鱼。银狐团伙擅长结合政策节点伪造“税务局”“财政部”等官方文件，例如在税务稽查高峰期，通过邮件、短信发送钓鱼链接，页面仿真度极 高，诱导受害者点击后自动下载木马程序。

假冒稅務局通知

二是社交平台广撒网，钓鱼文件秒变“病毒快递”。通过社交渠道发送钓鱼文件和二维码，直接在微信群、QQ群禑岷组中传播虚假链接，迅速扩大感染范围。2025年上半年，已有多家企业员工受害，银狐团伙通过工作群传播诈骗信息，进而盗取员工财产。

釣魚二維碼/微信群轉發

三是高仿辦公軟件下載頁，精准捕捉職場需求。銀狐團夥還深谙國內辦公習慣，複刻官網構造各類軟件下載仿冒頁面，如緊跟時事仿冒DeepSeek本地部署等常見辦公軟件，未仔細分辨的用戶極易不慎下載木馬。

緊跟時事，仿冒DeepSeek本地部署

各種仿冒辦公軟件

四是云存储平台隐身术，令溯源追踪难上加难。为规避安全监测，银狐将惡意程序伪装成“行业报告”“设计素材”“学习资源”等文件，托管至知名网盘或云服务商的对象存储服务（OSS，Object Storage Service）。由于云平台IP动态分配且资源链接分散，安全团队难以通过传统IP封禁或域名拦截手段溯源，形成“下载即中毒，中毒难追责”的攻击闭环。

網盤中挂載的銀狐

騰訊iOA?EDR實戰?助力企業“精准獵狐”

第 一幕:伪装正常软件悄然潜入

近期，腾讯iOA团队就帮助某游戏开发公司成功定位并阻断银狐攻击。公司内部人员在网络上下载了某软件安装包，当用户点击安装时，腾讯iOA EDR的内核探针瞬间捕获异常行为:未签名的lets-3.12.3.exe正释放可疑的msi安装包，此处就已触发了EDR告警，可以清晰地看到，EDR界面详细地展示了攻击详情，包括进程命令行、文件名、文件路径等信息。

具体来说，銀狐木馬伪装入侵，在初始阶段即被iOA及时发现。首先，安裝包簽名過期。EDR的文件信誉系统采集到该安装包无有效签名，同时关联图引擎追溯到文件源于Edge浏览器的异常下载，形成“浏览器-恶意文件-释放行为”的初始攻击链证据。其次，检测到連鎖惡意操作。可疑安装包在执行时触发了连锁恶意动作——msiexec.exe应用调用cmd.exe启动了hotdog.exe，该程序正是被银狐改造的黑客工具Nidhogg，该工具正尝试通过“进程保护”绕过常规杀毒软件检测，iOA及时发现并帮助用户快速处置。

安裝包簽名過期

連鎖惡意操作

第二幕:內核級探針捕獲異常行爲鏈

与此同时，銀狐木馬在入侵电脑的C:\Program Files （x86）\Windows NT目录下植入tprotect.dll驱动，并创建自启动服务“CleverSoar”，准备为下一步非法外联做准备，谁料一系列的动作都被iOA纳于眼底，立刻触发了一条EDR告警。

接下来，EDR持续发威，异常行为被持续关联，溯源铁证逐步浮现。msiexec → cmd → hotdog的异常情况被完整记录，命令行参数显示正执行“process add6772”等攻击指令;同时，銀狐木馬写入注册表的隐藏计划任务被EDR及时发现并实时拦截，尽管銀狐木馬注册表项描述伪装为“Microsoft”，但路径与时间戳仍然暴露了其恶意属性，进一步坐实了攻击证据。

進程調用鏈條全鏈路展示

持久化證據確鑿

第三幕:多維度檢測阻斷攻擊閉環

同一时间，銀狐木馬所关联的runtime.exe进程尝试连接域名8004.twilight.zip，一旦外联成功，PC将被黑客远程控制，千钧一发之际，EDR通过腾讯威胁情报库精准识别，确认外联端为银狐C2控制端，并及时在控制台产生对应告警信息。

EDR防禦矩陣同步啓動:

終端行爲阻斷:iOA成功攔截了MSI文件的釋放，終止了惡意進程hotdog.exe，並將其隔離至沙箱。同時，通過識別tprotect.dll驅動的簽名時間與系統環境的沖突，並借助iOA圖引擎追溯到文件源頭，形成了完整的初始攻擊鏈證據。

持久化清除:安全研判介入後，迅速下發終端響應任務，刪除了注冊表Tree路徑下的隱藏任務項，並修複了被篡改的計劃任務配置。此外，還停止了CleverSoar服務並清除了驅動文件，有效阻斷了內核級駐留。

外聯行爲阻斷:EDR基于威脅情報實時阻斷了C2域名解析，禁止可疑進程聯網，並生成了詳細的網絡訪問日志，記錄了惡意IP的通訊企圖。

通过以上自动化手段，iOA构建起一整套智能防御体系，并在本次实战攻防演练中成功抵御銀狐木馬的高强度攻击，充分展现了“主动防御+智能响应”的创新安全防护理念。

全鏈路可見性:完整記錄從釣魚文件下載到C2通信的全流程事件，通過溯源圖直觀呈現攻擊鏈各環節，爲安全複盤提供堅實證據。

多层级对抗能力:内核级探针+行为分析+威胁情报，形成立体防御体系，有效应对銀狐木馬如“多阶段内存加载 + 驱动级对抗”等高 级攻击手段。

自动化响应效率:腾讯iOA EDR通过预设响应策略，实现“秒级检测+分钟级处置”，显著降低安全团队的应急响应压力。

攻防對抗?持久戰未歇

網絡安全的本质是攻防对抗，这是一场永不停歇的持久战，需要行业各方协同应对。针对当前銀狐木馬的日益猖獗，腾讯iOA团队联合科恩实验室特别提醒:

提高警惕，謹防釣魚攻擊:切勿随意打开来历不明的链接、点击接收未知来源的邮件附件或下载安装非可信渠道的应用，对微信群、QQ 群等社交媒体传播的非官方通知和程序保持高度警惕;

謹慎處理敏感信息:涉及個人敏感信息輸入（如銀行卡號、手機驗證碼等）或錢財轉賬時，務必謹慎核對信息來源與用途，確保操作安全合法;

及时部署安全软件:建议部署企业级终端安全软件，开启钓鱼防护和实时监控功能，并保持系统与安全软件版本及时更新，以具备最 新防护能力。

同时，腾讯iOA为不同规模的用户提供了两套銀狐木馬防护解决方案:

針對500點以下的中小企業用戶，騰訊iOA基礎版免費開放，提供完整的病毒查殺、釣魚防護、終端加固等安全能力，滿足中小企業的終端安全防護需求。

针对500点以上的中大型企业，腾讯iOA也可以提供免费试用，在基础安全防护能力之上，还额外提供终端检测与响应EDR模块，配套腾讯安全专家在线研判服务，让各类高 级安全威胁无所遁形。

（推廣）