银狐木马持续肆虐，山石网科云网端动态立体防御体系

“银狐木马”来袭，你的信息安全还能保得住吗？

近期，一种名为“银狐木马”的恶意软件正持续肆虐，给众多政企事业单位和个人带来了巨大的安全隐患。从伪装成工作文件的钓鱼邮件，到通过社交软件传播的加密压缩包，攻击者手段层出不穷，其目的无非是窃取敏感信息、实施精准诈骗，甚至导致企业资金被盗、商业机密泄露。面对如此复杂且隐蔽的网络威胁，我们该如何筑牢安全防线？今天，就让我们一起深入了解“银狐木马”的攻击手段，以及山石网科如何凭借其先进的云网端动态立体防御体系，守护您的数字资产安全。

一、各单位加大预警力度

深圳市发起银狐肆虐预警公告：

地方市级单位开展专项安全演练工作：

国家计算机病毒应急处理中心发布相关预警信息：

西南交通大学发起面向师生的预警通知：

二、政企事业单位遭受攻击

（一）手段多样

攻击者利用微信、QQ、钉钉、Telegram 等社交软件，构造财务、税务稽查通知等主题的钓鱼信息和收藏链接，传播包含木马的加密压缩包、伪装成工作文档的可执行文件（如 “金税四期 (电脑版)-uninstall.msi”、“金税五期 (电脑版)-uninstall.zip” ）或钓鱼网页链接。

如直接IM工具投递：

伪装客户信息钓鱼邮件，诱导下载银狐母体样本：

（二）危害严重

银狐木马攻击的目的包括针对财务、会计等岗位人员，窃取财税文件、财务转账信息等，通过伪装领导、老板等身份，指挥财务人员转账；或利用获取的个人信息、银行卡信息等实施精准诈骗、盗刷资金。收集密钥、聊天记录、机构内部文件等敏感数据，用于后续非法交易、情报获取等。比如实时检测用户电脑操作，掌握用户身份与操作习惯等信息。

银狐木马对政企业来说，会造成经济损失，包括资金被盗转、业务中断导致的运营损失；企业敏感信息（如商业机密、财务数据、客户资料等）泄露，损害企业信誉与市场竞争力，可能面临法律纠纷和监管处罚。

下面是某财务系统大量敏感信息被泄露与售卖：

三、最新攻击技战术

银狐木马近期展现出极具威胁的技战术。传播上，借助社交平台与邮件，以财税通知等诱饵诱导目标点击，如伪装 “金税四期” 相关文件，还会模拟操作关闭杀毒软件。技术层面，运用伪装免杀手段，利用正规软件驻留系统，通过内存加载、进程注入等方式躲避检测，将恶意代码注入常见进程。操作中，分阶段执行，先在内存解密 payload，再释放文件创建计划任务，最终加载远控木马。

四、山石防御体系

面对复杂且隐蔽的银狐木马攻击，山石网科凭借其先进的安全技术体系和强大的威胁检测能力，能够全方位、多层次地防御此类木马病毒，为用户提供坚不可摧的安全防护屏障。

（一）海量情报来源

山石网科构建了全球化的威胁情报生态，与超10家国际顶尖威胁情报机构无缝对接，实现情报共享与实时联动。针对银狐家族，我们建立了专属的IOC（Indicators of Compromise，入侵指标）特征库，能够以分钟级的频率进行动态更新，确保对最新变种和攻击手段的快速响应。

凭借先进的威胁情报处理能力，我们每日生成数千条静态活跃IOC，覆盖银狐木马的各类关键特征，包括恶意域名、IP地址、文件哈希值、恶意软件行为模式等。同时，我们建立了完善的生命周期管理制度，对IOC从生成、验证、更新到淘汰的全过程进行严格管控，确保情报的准确性和有效性，为用户提供精准、实时的安全防护支持。

内部拥有庞大威胁知识图谱，针对银狐木马知识有持续性跟踪木马新技术能力：

（二）事前防御

通过融合网络检测与响应（NDR）的及时性网络资产情报以及终端检测与响应（EDR）的实时行为检测引擎，能够在入侵的初始阶段精准捕获隐蔽的“白利用”行为以及恶意基础设施的部署动作。

启动MSIEXEC 安装（原始日志信息）：

使用sc创建进程与服务（原始日志信息）：

（三）事中阻断

山石网科的边界防火墙通过深度包检测（DPI）和实时流量分析，能够在内网环境中快速识别并拦截银狐木马等恶意软件的入侵行为。从威胁进入网络边界到触发告警，整个过程仅需分钟级响应，确保攻击行为在扩散前被及时阻断。

终端行为检测异常毫秒级处置，如银狐一阶段下载行为：

入侵阶段行为告警信息

（四）事后溯源

山石网科的安全解决方案能够通过扩展检测与响应（XDR）平台的强大关联分析能力，结合终端检测与响应（EDR）系统的实时检测数据，快速还原银狐木马入侵的关键节点信息。这种深度溯源能力能够帮助安全团队迅速定位攻击的源头、路径和影响范围，为后续的威胁清除和安全加固提供有力支持。

节点详细信息：

全局溯源攻击技战术复原：

并形成用户需要的专项分析报告，如：

五、结语

银狐木马的出现再次提醒我们，网络安全威胁无处不在，且日益复杂和隐蔽。作为全球领先的信息安全厂商，山石网科始终致力于为用户提供最可靠、最有效的安全防护解决方案。凭借其全方位、多层次的安全防护体系，山石网科能够轻松应对银狐木马等各类复杂网络威胁，守护用户的网络安全防线。在未来，山石网科将继续加大研发投入，不断创新安全技术，提升安全防护能力，为用户的数字资产安全保驾护航。

六、活跃IOC示例

02dc758a661f23ac2a7f5bcf5d4bac20

0324f25190a9cb5e0aa28ad2be1d5501

03c10a09849ef21e10292ba5a43bf698

03d75cd4addb34069ea66a3e451f403b

06c75271c589eb60c9b6e34735bfcb13

0ae8eb1090a6b9c53ba4a4441423c401

0b848d341d34a0fce1c06a549fc995dd

0d4ac921804f3e7eed2d970008d0c5cb

0edffab2af94b6261e129655f32c2f1a

101138ccd72fbc63c1fef9cfc069928a

1095eb9b03cebc35699a6cb0d82db8f0

1319172e950f4a1d641bf41644a057d2

150994da0e2f8cf5660460cbd5a65934

17ef8c8884cce07cf131c193a854374d

1818827a4c4305986969bf19dab209c0

1e035961b42c6620f824744a4f7e0da6

1fc0594c118559d49aa48dd395a0a307

281fefbe8ae2e580912a7749241461f2

2f9af47e72a6df4b45a9143b2f1ff421

316ea891f71b5905767cb33c0d065d3e

34d5a8f6abece85b4d02f624b5321a82

35968341faf69be6349b8fa408c837fc

374c819df0a846b1688c27a2e8455823

3b40042a52899db2ddbb6388fec51f51

3ddd4a421e41ec9a4311022bca1b581a

4383eaaf2592752f52d3b643172f6e49

46a2b9c49823636cdded2f9db719d5cf

50faaa9eeb829d1274455f64a660af0d

5103f764a1906a51b7da891e3f3f8dde

5125869e7a3e642dff5ce535c2a18a8f

519de6c974cc4f0aaf57caa32a2f41a1

527050f0e7add6521248c8921fcc4743

527cbe7eedb577b3210b3d7309de6d94

533b435b434982d1b5349f6d17daa794

59f282154cb69b296d680ad95d034c87

5c85b5c8db5e82091e16112c9b9aa8ba

608ca8c75d6a4555ff9c1ebde9602e81

669a3a262d907dbe4b863feed1839c20

6a5fda1d553a919026be3f43f98a8ecb

6b14ea0f793dbc1cce679ff10b2f9142

6b2214a97788eff35ddefa82357f03cf

6cb5bf5a43b362738a3e799f0aa6c90a

6eb6b7ed66726acf908fcb60299f9e0b

719ab2c961b9432cc5e1e16a7c503ae8

73580530560707d23ff9fbd7d4acf455

7904842a7131e62a00aa8fbd28580f04

790878ed2424e49f8e20e646e9709e8b

7d09c5ed072a9b884333c7419d7a30c6

7db1525a94e6d0b52d120c3d188f0ed3

82ce263644fc8a59947e4d0321b00737

84a4535d7489b4cb6599dc8325d09d63

852d47d978ea97e3bdc4bbd90f0ccf86

885eb03b8e3945e63aaddb9a4e31318f

891a50ed2c8fc0b55b9573b78c4fe5e2

8b6c646f5788dcce3db6598fcaca8ff5

8cc36c6441e6904f51e4a72878aa8f0f

9129713eb0d2e6b93a75014554a7cbb0

91406db84c365a57ce3570ff80825cd4

92ae1aff368611d62afe51d43c91bf0b

93d6d71bc62fd34c8e7854ff1a19e5a0

94735f853e157df74eef3b6eb12606d8

948eb6df6f86f441697c1fa4f4fef9d7

94ad4324f641bd77e852c9d37e3388ca

9992490e445f8da56acc64390239f960

99ab3ede5678fe375117f1bdb985e1ef

99f91006d933909d8257000e57729394

9dc226661fd60b13f459c8031f2fa668

a5b798db6a2f6e527870a7be40a4c5c6

a753cdc5f05b18f00577711e8341a76b

a98d8f2f28700feea6b28d7bd71654e3

ac3cb4ce313b71dd87f846c8a30ec416

ad41754880670350a086b72040e833bc

af687412cddb0179662fecfb32b5bebd

b9c83524d916ca60361edc365931217b

ba3d706bb5b99e425a89b9a8806ad87a

bc2ce775eebbcc93a3f7a9ee42928a3f

c953cf1e06b00870ead2a6b06cfa0b02

c983aae1e85da46ece52438d9ec5e949

cd9a14ebbc0fc56d5b61f2cbeff18681

d003c49e410031903c397686aab42b5a

d15283ee7bd207f07dd5faad8caeea51

d2ba7f6a8aa4ebb3c97b7b62cb0e0aec

d4d8cc6c5cc8aec7390be7d2e22fcc06

d9cc672ee25db65518c3b6715ae5076f

dbc79ae86ad01f26d1ac60114f9aaf38

de61d5b79056d46b24a9e46a49ada1f8

df1ca4a8fab0457219e8b1f1952c4b84

dfcdf1dbc37b35b8d3a40fcf176584f4

e01d5dbfc37f8b114d8788724fe77677

e1e8998a9ca8b1c04808d7875a14c929

e2c9ae30f7bf613bb4b7359d6cb8b9f3

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、安全服务、安全教育等九大类产品服务，50余个行业和场景的完整解决方案。