守护企业终端安全，腾讯iOA EDR精准“猎狐”

近年来，一款名为“银狐木马”（又称“游蛇”）的恶意程序在国内及亚太地区悄然肆虐，其攻击目标精准锁定政府机构、金融、医疗及制造业的高价值岗位人员，以狡猾的伪装手段和复杂的技术链条，成为企业安全防御体系中的“隐形炸弹”。

1、“狡诈银狐”持续进化

银狐木马是一种具有高度隐蔽性和复杂功能的恶意软件，其攻击目标精准锁定在政府机构、金融、医疗、制造业的高价值岗位人员，如财会、高管等，对这些关键领域和重要人员的信息安全构成了巨大威胁。

“毒如其名”，该病毒像一只狡猾的狐狸，善于伪装，潜伏在财税/政务领域，常常伪装成“财会发票”“税务稽查通知”“企业福利补贴名单”等文件，以迷惑用户点击。其传播渠道广泛，包括微信群、钓鱼邮件、各类社交媒体等，还利用搜索引擎竞价排名、SEO引流等手段诱导用户下载，使用户防不胜防。

自2019年首次曝光以来，银狐已迭代多个版本，持续增强免杀对抗与持久化驻留能力。最新变种在攻击手段上更为狡猾和复杂，它充分利用人性弱点，伪装吸引用户点击下载到 PC 上，并通过多阶段内存加载、白加黑劫持、驱动级对抗等先进技术手段，巧妙地规避杀软检测，形成了“传播-驻留-窃密”的全链路攻击闭环。一旦获得终端权限，银狐或潜伏监视，长期收集用户数据，或直接操控受害机器拉群传播木马和实施二维码诈骗，直接威胁企业核心资产与个人隐私安全，堪称企业安全的“隐形炸弹”。

2、银狐入侵手段层出不穷

● 伪造官方机构通知，借时事热点钓鱼

银狐团伙擅长结合政策节点伪造“税务局”“财政部”等官方文件。例如在税务稽查高峰期，通过邮件、短信发送钓鱼链接，页面仿真度极高，诱导受害者点击后自动下载木马程序。

图示假冒税务局通知

● 社交平台广撒网，钓鱼文件秒变“病毒快递”

通过社交渠道发送钓鱼文件和二维码，直接在微信群、QQ群等群组中传播虚假链接，迅速扩大感染范围，2025年上半年，已有多家企业员工受害，银狐团伙通过工作群传播诈骗信息，进而盗取员工财产。

图示：钓鱼二维码

图示：微信群转发

● 高仿办公软件下载页，精准捕捉职场需求

银狐团伙还深谙国内办公习惯，复刻官网构造各类软件下载仿冒页面，如紧跟时事仿冒 DeepSeek本地部署等常见办公软件，未仔细分辨的用户极易不慎下载木马。

紧跟时事，仿冒DeepSeek本地部署

各种仿冒办公软件

● 云存储平台隐身术，溯源追踪难上加难

为规避安全监测，银狐将恶意程序伪装成“行业报告”“设计素材”“学习资源”等文件，托管至知名网盘或云服务商的对象存储服务（OSS，Object Storage Service）。由于云平台IP动态分配且资源链接分散，安全团队难以通过传统IP封禁或域名拦截手段溯源，形成“下载即中毒，中毒难追责”的攻击闭环。

图示：网盘中挂载的银狐

3、深度还原 | 腾讯iOA-EDR“精准猎狐”

第一幕：伪装正常软件悄然潜入

近期，iOA 团队就帮助某游戏开发公司成功定位并阻断银狐攻击。公司内部人员在网络上下载了某软件安装包，当用户点击安装时，腾讯 iOA EDR 的内核探针瞬间捕获异常行为：未签名的 lets-3.12.3.exe 正释放可疑的msi安装包，此处就已触发了EDR告警，可以清晰的看到，EDR界面详细的展示了攻击详情，包括进程命令行、文件名、文件路径等信息：

银狐木马伪装入侵，在初始阶段即被iOA及时发现：

1、安装包签名过期：EDR 的文件信誉系统采集到该安装包无有效签名，同时关联图引擎追溯到文件源于 Edge 浏览器的异常下载，形成 “浏览器 - 恶意文件 - 释放行为” 的初始攻击链证据。

2、检测到连锁恶意操作：可疑安装包在执行时触发了连锁恶意动作：msiexec.exe 应用调用 cmd.exe 启动了 hotdog.exe，该程序正是被银狐改造的黑客工具 Nidhogg ，该工具正尝试通过 “进程保护” 绕过常规杀毒软件检测，iOA及时发现并帮助用户快速处置。

第二幕：内核级探针捕获异常行为链

与此同时，银狐木马在入侵电脑的C:\Program Files (x86)\Windows NT 目录下植入 tprotect.dll 驱动，并创建自启动服务 “CleverSoar”，准备为下一步非法外联做准备，谁料一系列的动作都被 iOA纳于眼底，立刻触发了一条 EDR告警。

接下来，EDR 持续发威，异常行为被持续关联，溯源铁证逐步浮现：

● 进程调用链条全链路展示：msiexec→cmd→hotdog 的异常情况被完整记录，命令行参数显示正执行 “process add 6772” 等攻击指令；

● 持久化证据确凿：银狐木马写入注册表的隐藏计划任务被 EDR 及时发现并实时拦截，尽管银狐木马注册表项描述虽伪装为 “Microsoft”，但路径与时间戳仍然暴露了其恶意属性。

第三幕：多维度检测阻断攻击闭环

同一时间，银狐木马所关联的runtime.exe 进程尝试连接域名 8004.twilight.zip，一旦外联成功，PC 将被黑客远程控制，千钧一发之际，EDR 通过腾讯威胁情报库精准识别，确认外联端为银狐C2控制端，并及时在控制台产生对应告警信息。EDR 防御矩阵同步启动：

1、终端行为阻断

● 拦截 MSI 文件释放，终止恶意进程 hotdog.exe 并隔离至沙箱；

● 识别 tprotect.dll 驱动的签名时间与系统环境冲突，同时关联iOA图引擎追溯到文件源头，形成 “浏览器 - 恶意文件 - 释放行为” 的初始攻击链证据。

2、持久化清除

● 安全研判介入确认后，下发终端响应任务，删除注册表 Tree 路径下的隐藏任务项，修复被篡改的计划任务配置；

● 停止 CleverSoar 服务并清除驱动文件，阻断内核级驻留。

3、外联行为阻断

● EDR基于威胁情报实时阻断C2域名解析，禁止可疑进程联网；

● 生成网络访问日志，记录恶意 IP的通讯企图。

通过以上自动化手段，iOA 构建起一整套智能防御体系：

1、全链路可见性

从钓鱼文件下载到 C2 通信的全流程事件被 EDR 完整记录，通过溯源图可直观呈现攻击链各环节，为企业安全复盘提供扎实证据。

2、多层级对抗能力

内核级探针+行为分析+威胁情报的立体防御体系，有效应对银狐的 "多阶段内存加载 + 驱动级对抗" 等高级攻击手段。

3、自动化响应效率

通过预设响应策略，EDR 可对已知威胁实现 "秒级检测 + 分钟级处置"，大幅降低安全团队的应急响应压力。

4、攻防对抗，持久战未歇

在本次实战攻防演练中，腾讯iOA-EDR以卓越的防护能力大显身手，成功抵御银狐木马的高强度攻击，充分展现了"主动防御+智能响应"的创新安全防护理念。针对当前银狐木马日益猖獗的网络安全威胁，腾讯iOA团队联合科恩实验室特别提醒广大企业用户：

● 提高警惕，谨防钓鱼攻击：切勿随意打开来历不明的链接，不点击接收未知来源的邮件附件，不下载安装非可信渠道来源的应用。对微信群、QQ群或其他社交媒体软件中传播的非官方通知和非官方程序，要保持高度警惕，不轻信。

● 谨慎处理敏感信息：在涉及个人敏感信息输入（如银行卡号、手机验证码）或钱财转账时，务必谨慎核对信息来源和用途，确保操作的安全性和合法性。

● 及时部署安全软件：建议部署企业级终端安全软件，并开启钓鱼防护功能和实时监控功能，同时保持系统版本和安全软件及时更新，确保其具备最新的防护能力和安全特性。

腾讯iOA为不同规模的用户提供了两套银狐木马防护解决方案：

● 针对 500 点以下的中小企业用户，腾讯 iOA 基础版永久免费开放，提供完整的病毒查杀、钓鱼防护、终端加固等安全能力，满足中小企业的终端安全防护需求。

● 针对 500 点以上的中大型企业，腾讯 iOA 也可以提供免费试用，在基础安全防护能力之上，还额外提供终端检测与响应 EDR 模块，配套腾讯安全专家在线研判服务，让各类高级安全威胁无所遁形！

无需等待，扫码即可快速开通腾讯 iOA 基础版，永久免费使用！