银狐木马6月新变种：引入日更机制，真不愧是“卷王”

银狐木马6月新变种，“银狐”变种引入日更机制，挑战传统分析防御

前言

近日，亚信安全应急响应中心在日常案件受理中发现“银狐”木马新变种，该变种具备独特的传播与更新机制，极具隐蔽性和危险性。其主要依靠钓鱼邮件进行大范围传播，且引入了快速更新机制，通过每天更新新样本、FTP 密码以及设置运行时间限制等手段，能够迅速投放新样本，有效避免老旧样本被分析，给网络安全防护带来了极大的挑战。

技术细节分析

传播与下载：通过钓鱼邮件嵌入恶意下载链接，引诱收信人点击下载。下载的样本采取 “白加黑” 的方式，加载恶意 DLL，以此来逃避安全检测。

时间检查与更新：样本首先进行系统时间检查，若时间晚于指定时间则退出进程。攻击者每天都会更新样本文件、FTP 密码及部分 payload，每天编译的样本与 FTP 密码在第二天傍晚失效，大大增加了样本分析调试的难度。

FTP 操作与执行：样本访问硬编码的 FTP 下载后阶段程序 edat_8025，并将自身拷贝到 D:m.exe，同时增加参数 /100 后执行。edat_8025 为 .exe 格式文件，其会检查命令行参数是否有 /100 或 /tm 等，若没有则退出进程，用于反调试反沙箱。

内存加载与解密：接着通过 FTP下载 sl_8025，将下载内容通过 VirtualAlloc 加载到内存，并进行一系列异或解密后，在内存中执行。同时，在 shellcode 中对下载执行的 PE 文件进行了头部更改，修改 0x2 偏移量位置为当前模块地址，这使得仅通过获取加密文件并手动解密的方式进行分析会出错。

资源查找与解密：通过遍历0x420000递减 0x10000 的方式查找 MZ 头，随后设置偏移量 2 作为模块的句柄，并查找该模块的资源文件 BIN 中的 150 资源。再通过查找资源中的不同字符串标识来区分需要解密的内容，如解密出 C2 地址等。

反分析与进程休眠：过程中调用多种反沙箱、反调试等手段避免分析，还会查找安全软件进程，如有发现则进行休眠。

文件保存与加载 ：从资源中读取大量可执行文件并保存到 D: 或 E:NetEase 目录，其中的 EXE 文件通过导入表加载从 FTP 下载的恶意 DLL libxml2.dll，并在内存中解密并加载资源 127（win.dat）。

最终行为 ：完成后，在内存中解密出完整 PE 文件，该 PE 文件为多功能木马，具有创建进程、注入进程、远程管理、浏览器信息窃取、日志清理等功能。

IOC

样本Hash：

94e14006bfb4a569d76c5b7ecbe540006b420624

总结

6月“银狐”变种凭借其独特的传播、更新与加载机制，以及多种反分析手段，对网络安全构成了严重威胁。其功能强大且隐蔽性高，一旦感染可能导致重要信息泄露、系统被远程控制等严重后果。因此，各机构和用户应加强网络安全防护意识，及时更新安全软件，谨慎处理不明来源的邮件及链接，以应对这一复杂变种的潜在风险。

通用处置建议

• 全面部署安全产品，保持相关组件及时更新
• 保持系统以及常见软件更新，对高危漏洞及时修补
• 不要点击来源不明的邮件、附件以及邮件中包含的链接
• 请到正规网站下载程序
• 采用高强度的密码，避免使用弱口令密码，并定期更换密码
• 尽量关闭不必要的端口及网络共享

亚信安全产品解决方案

ATTK是亚信安全研发的疑难病毒检测工具，不仅可以高效收集系统信息，还具备强大的病毒检测和查杀能力。

ATTK银狐专杀工具集成了梦蝶引擎的最新能力，包含10万条以上的启发式规则，机器学习模型和海量的云查杀病毒库。其中，梦蝶云查杀库新增每周350万+病毒样本检测能力，并建立了转向流程将流行样本和银狐木马加入本地特征库。

01

亚信安全勒索治理方案

亚信安全建议通过高级威胁监测与治理产品对客户内网从网络流量、邮件以及文件等容易遭受黑客病毒攻击的维度进行全方位的检测，并通过终端检测与响应EDR进行攻击行为的溯源与验伤，锁定攻击源头与攻击方式。

通过本地威胁情报中心以及统一的安全运营平台基于病毒情报特征进行规则更新，并统一策略下发至云、网、边、端各个安全产品对木马病毒进行拦截阻断，防止病毒在内网环境中的进一步传播。

02

企业文件系统防护方案

针对黑客团伙利用伪造正常业务系统文件传播病毒的情况，亚信安全高级威胁文件沙箱DDAN作为专注于动态检测病毒文件的沙箱产品，可有效检测病毒文件，防护客户企业文件系统安全。

03

企业邮件系统防护方案

针对黑客团伙利用钓鱼邮件传播病毒的情况，亚信安全信桅高级威胁邮件防护系统DDEI作为专注于钓鱼邮件防治的国内TOP级邮件网关产品，对钓鱼邮件的检出与拦截率超过95%，对垃圾邮件的综合过滤率达到99.5%，可有效防治黑客通过邮件的方式传播病毒的行为。

通过邮件网关DDEI的内置沙箱深度分析附件中的木马，通过统一威胁运营平台将有害的附件情报同步到全网终端检测与响应设备实现自动遏制。

联动路径:亚信安全信桅高级威胁邮件网关(DDEI) ==>本地威胁情报中心==>统一威胁运营平台==>终端检测与响应(EDR)

亚信安全建议

亚信安全认为，尽管许多组织已实施网络安全防护措施，但他们仍然遭受勒索攻击。这主要是因为现有的安全策略大多针对传统勒索软件，未能意识到这种攻击形式已演变成一个复杂的侵害网络，并形成了庞大的犯罪产业。许多企业忽视了攻击手法的多样性和发展趋势，导致防御措施难以应对新型威胁。

因此，必须重新审视和升级安全策略，以适应不断变化的网络环境，开启关键日志收集、配置IP白名单规则、进行主机加固、部署入侵检测系统、建立灾备预案，并在遭遇勒索软件攻击时及时断网并保护现场，以便安全工程师排查。