AI智能体专区
立即体验恒脑安全智能体 
立即解锁AI安服数字员工 
行业解决方案
技术解决方案
它又来了!你双击的 “重要人事文件”,可能是银狐新变种
银狐攻击流程
一旦用户打开此类伪装文件,恶意程序便可能在后台启动,进而连接攻击者控制端,导致终端被远程控制,并可能引发账号凭据泄露、文件窃取、数据外传等安全风险。
银狐常见攻击手法覆盖诱饵投递、文件伪装、快捷方式执行链、木马化安装包、DLL 侧加载、远控木马投递、持久化、凭据窃取和数据外传等行为。
攻击者将木马文件伪装成“违纪名单”“薪资补贴”“财务报表”等人事、财务类敏感主题文件,诱导受害者误认为其为正常文档并点击运行。文件执行后,恶意代码会注入至 Windows 合法系统进程或服务进程中,以实现隐蔽运行、权限维持和持续驻留。随后,木马会与 C2 服务器建立通信连接,执行远程控制、数据窃取及后续攻击操作。该攻击方式通过寄生于合法系统进程中运行,降低恶意行为在进程名称、进程路径、父子进程关系及文件落地行为等维度上的异常特征可见性,从而规避基于进程特征和静态文件行为的安全检测,提升攻击隐蔽性与持久化能力。
银狐攻击手法总结
通过对银狐常用诱饵文件名进行统计分析,安恒信息发现“人员名单”“违规违纪”“薪资补贴”“电子发票”等词汇出现频率较高,与国家计算机病毒应急处理中心发布的预警内容高度吻合。
安恒信息产品已在攻击链的多个关键环节部署对应检测规则,针对银狐常用的“诱饵文件名 + 可执行文件/快捷方式真实后缀 + 用户双击运行”攻击模式,以及已知样本Hash、C2等威胁情报,安恒信息终端安全产品EDR、办公智盾都已能够进行准确识别、告警和阻断。
病毒引擎拦截功能
入侵检测规则告警
1、紧急情况下,可对已部署安恒EDR的终端下发网络隔离策略,隔离后终端只能和EDR平台建立连接;
2、默认配置下,终端杀毒引擎识别到恶意程序时将自动隔离对应文件,也支持人工下发处置动作隔离指定文件;
3、当木马程序的进程注入、文件创建、进程创建、注册表写入等操作被入侵检测规则命中后,EDR可自动阻断该行为;
4、安恒银狐专杀工具是一款专为查杀银狐木马及其变种而打造的高效专杀工具。依托高质量威胁情报和高性能查杀引擎,能够在1分钟内完成整机扫描,可有效清理活动的恶意进程及静态文件。
根据银狐的特性,除了从终端上进行识别,安恒更推出端+流量+平台的整体检测方案,在银狐木马的执行各阶段安恒都有对应的检测手段:
EDR可在检测到恶意行为后自动执行“隔离主机”动作,XDR平台支持一键生成应急响应剧本,指导安全团队完成取证、溯源与恢复全流程。
防护架构
安恒将持续跟踪银狐木马及其相关攻击活动的新动向,关注银狐新变种、新诱饵和新攻击链路,动态优化检测规则与防护能力。
