惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

G
GRAHAM CLULEY
T
Tenable Blog
Know Your Adversary
Know Your Adversary
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
S
Security Affairs
NISL@THU
NISL@THU
O
OpenAI News
Attack and Defense Labs
Attack and Defense Labs
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Hacker News: Ask HN
Hacker News: Ask HN
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
S
SegmentFault 最新的问题
S
Schneier on Security
G
Google Developers Blog
V
V2EX
C
Check Point Blog
U
Unit 42
Google DeepMind News
Google DeepMind News
T
Threatpost
阮一峰的网络日志
阮一峰的网络日志
T
The Exploit Database - CXSecurity.com
Recent Announcements
Recent Announcements
M
MIT News - Artificial intelligence
S
Secure Thoughts
博客园 - 司徒正美
Recorded Future
Recorded Future
P
Proofpoint News Feed
Spread Privacy
Spread Privacy
K
Kaspersky official blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
AI
AI
博客园 - 聂微东
N
News and Events Feed by Topic
SecWiki News
SecWiki News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
V
Vulnerabilities – Threatpost
P
Palo Alto Networks Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Engineering at Meta
Engineering at Meta
Recent Commits to openclaw:main
Recent Commits to openclaw:main
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
酷 壳 – CoolShell
酷 壳 – CoolShell
WordPress大学
WordPress大学
The Hacker News
The Hacker News
The Last Watchdog
The Last Watchdog
Project Zero
Project Zero
W
WeLiveSecurity
博客园 - Franky

卷卷

今日说法 节目汇总笔记 《斯坦福大学人生设计课》读书笔记 我的书单📖 H-worm (VBS蠕虫) 感染事件溯源分析报告 AMOS (Atomic Stealer) 恶意软件深度分析 Atomic Stealer (AMOS) 回归:ClickFix、伪装加密货币应用与新型 macOS 持久化机制 关于xt.exe的分析报告 仿真钓鱼页面窃取用户凭证 GitHub Pages配置Cloudflare CDN踩坑之路 推荐RSS热力图和Github热力图使用指南 学习逆向工程相关概念 zabbix快速上手 学习python高级语法特性例题笔记 学习云计算基本理论学习笔记 学习Docker-Compose命令及镜像构建与推送 ATT &CK 框架实践阅读笔记 rundll32.exe恶意加载DLL文件外联 《悉达多》读书笔记 《稀缺》读书笔记 《认知觉醒》读书笔记 《营养学》读书笔记 《心理学》读书笔记 热💖生活 C++开发环境配置与程序运行笔记 IDA Free调试Hello World笔记 逆向免杀 Admin.canway账号命名方式 BAS - Breach and Attack Simulation Windows核心系统进程链与svchost深度解析 企业测试环境的弱口令需要整改吗 AI对话笔记-模板 网络安全行业招聘需求与技术能力分析 银狐木马技术原理分析与检测技术 SIEM-安全信息和事件管理 AI笔记 转载 专业备考⏳ 其他杂项🧶 Markdown 原生图片 知道创宇技能表 Prompt越狱手册 deepseek使用指南 清华大学 deepseek提问方法 markdown基本语法 数据湖:它们是什么?为什么您的组织需要一个? GitHub Codespaces velociraptor(迅猛龙)快速上手 学习windows快捷命令 学习常用 150 个Linux命令 软考中的一些概念 学习ssh基本使用 Linux系统换源输入法和包管理器 DC-8靶机 Metasploitable3下载与安装 信息收集方法及流程 防守之道 开发运维 免责声明 密码喷射攻击:防范攻击你需要知道的事项 密码学中的哈希解释:它的工作原理、算法和实际用途 应急响应术语 各种报错积累 漏洞挖掘思路 收藏夹 RDP和360星图使用 windows入侵排查 Linux入侵排查 Redis日志分析 Linux安全加固 windows安全加固 windows日志ID速查 中间件加固 数据库安全加固 windows系统提权 MySQL注入复盘 学习git版本控制工具的概念与命令 学习Web Shell 学习Linux命令 java环境配置 学习python基础语法特性解题笔记 学习Mysql基础知识 windows权限维持 学习网络及安全的一些术语 PHP代码审计 Linux系统提权 MSSQL注入复盘 Linux权限维持 命令执行和反序列化 逻辑漏洞 upload-labs 框架漏洞 学习PHP语法特性 XXE&SSRF CSRF 文件上传 Google Hacking XSS-lab XSS实验 学习URL请求后的通信过程 FOFA
银狐26年全面复活,对抗强度或已超25年最高水平
卷卷 · 2026-04-01 · via 卷卷

银狐26年全面复活,对抗强度或已超25年最高水平

自春节假期结束后,微步情报局监测到银狐攻击活动全面复活。3月,银狐已恢复到年前的活跃度,全月微步情报局捕获的新变种达500+,发现大量从去年下半年至今数次迭代的攻击手法,传播范围和对抗强度或已超越去年最高水平。

手法一:利用大量空壳公司构建钓鱼网站

进入到3月,微步情报局频繁捕获到仿冒浙江省税务局电子税务平台的钓鱼页面。

用户点击钓鱼页面内任意链接,都会触发内置的js跳转事件:

事件触发后,会弹出一个"系统版本过低,需要升级"的虚假弹窗,诱导用户下载银狐木马程序:

对攻击者使用的钓鱼网站流量统计服务51.LA的账号ID进行测绘,微步情报局发现了大量攻击者所属的其他钓鱼网站:

其中对钓鱼网站xxs.sckca.top进行分析:

其主域名关联了众多子域名,而这些子域名中解析IP为:121.41.85.112(中国浙江/阿里云)显示了所属公司页面:

除名字不同外,两公司页面高度相似,且都属于同一个法人名下:

有趣的是,李定泽名下关联了众多这样的空壳公司:

而除了李定泽,121.41.85.112这个IP还有很多类似的"李定泽"。

黑产团伙正是使用这样庞大的空壳公司注册域名,快速解析变化钓鱼网站:

其中包含了仿冒软件、财税、补贴、员工福利等不同钓鱼形式:

这类型的钓鱼网站能够在搜索引擎中权重更高,更容易被受害者点击访问。

手法二:远端拉取shellcode,用户态致盲EDR

2025年9月,微步情报局披露了一个使用"违纪人员名单"传播银狐木马的黑产团伙。

该团伙的样本经历过三次大的迭代,最显著的特征就是远控通信端口的变化:

通信端口主要流行时间样本数量
670/867025年8月到11月552
5676/5867625年11月到26年1月409
888026年3月至今184

该银狐样本程序使用PoolParty技术来对抗杀毒软件,并进行高强度传播,每周在野传播的数量是呈上升趋势,截至目前该样本已使用20+C2,样本使用的主题也是以"违纪违规名单"为诱饵。

对最新样本进行分析:

这批样本已经摒弃了白加黑加载同目录下的bin文件(加密shellcode),而是采用从远端服务器主动下载加密shellcode:

然后加密shellcode会经过自定义解密和LZNT1解压:

然后从磁盘中读取ntdll.dll覆盖当前进程里已加载的ntdll的.text节,使用这个操作来尝试覆盖一些EDR程序对ntdll中的函数的HOOK代码。

然后对当前进程进行提权,打开svchost写入shellcode:

内存Payload可被微步OneSEC精准捕获。

然后通过PoolParty注入进程(PostQueuedCompletionStatus,如果拿不到则尝试ZwSetIoCompletion)

手法三:自行编写内核驱动,绕过微软黑名单

2025年10月,微步情报局发现了一个使用Rootkit技术加持的银狐木马,该木马程序隐藏了进程和网络行为,并使用BYOVD技术关闭EDR和杀毒软件程序。

微步情报局在2026年3月再次捕获该团伙投递的全新变种。该黑产团伙已不满足于挖掘含有漏洞的内核驱动程序,而是使用自编写的驱动程序并签署合法的数字签名进行内核层的对抗。

由于微软官方会通过黑名单对已知漏洞驱动进行拦截。这种自行编写的漏洞驱动可以完全绕过黑名单,取得受害者主机的最高权限,进而关闭杀软和EDR。

该样本释放的程序中,包含一个Rootkit加载程序。

Rootkit运行后,会先遍历所有进程,并找到explorer.exe进程的PID

然后释放注册内核驱动,并将explorer.exe进程的PID发送给内核驱动程序,内核驱动程序内嵌在该Rootkit加载程序中,运行中释放加载:

该驱动程序具有合法的数字签名,且被VMP加壳对抗分析:

Rootkit运行后,会同时启动对抗线程和辅助线程两个线程,分别负责关闭安全软件进程,和检查安全软件进程是否依然存在。

对抗线程会While True不断执行对抗函数:

这个对抗函数则是通过11种不同的异或函数解密出指定的进程名,并发送给内核驱动程序进行关闭。

进程名对应产品
360Safe.exe360安全卫士
360tray.exe360安全卫士
ZhuDongFangYu.exe360主动防御模块
360sd.exe360杀毒
SafeDog.exe安全狗
SoftMgr.exe金山毒霸
kxes.exe金山毒霸
QMDownload.exe腾讯电脑管家
TrojanHunter.exe木马猎手
HipsDaemon.exe火绒
rfw.exe瑞星

辅助线程则先会检查安全软件进程是否还存在:

如果存在这些进程,则说明当前环境还存在杀毒软件,则调用TerminateProcess强行进行关闭,然后检查kabuto.sys是否存在,存在则重新注入到explorer.exe,如果不存在则重新释放注入:

当确保当前环境杀毒软件和EDR进程都不存在后,该木马程序加载解密银狐shellcode执行。

结论

根据微步发布的《黑产"银狐"2025年度防治报告》,被拉群攻击的企业中有93.19%在黑产拉群前对攻击毫无感知,足以证明持续迭代的对抗手法可以轻松绕过现有防护体系,需要用户高度重视。

目前,微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持所有样本的精确检测。

附录:部分IOC

钓鱼域名:

远控C2:

原文链接:https://mp.weixin.qq.com/s/VuRXmmnZ1YQuaUq33HVYUA