近期,360安全大模型监测到大量用户正遭遇银狐木马发起的网络攻击,其中企事业单位管理人员、财务人员、销售人员及电商卖家更是重点关照“对象”。
自2023年初以来,银狐木马持续猖獗,广泛在金融、教育、电商等多个行业留下罪证,一旦得手,银狐就能操控木马监控受害者日常操作,并窃取企业财务、管理等机密信息,造成政企机构的重大损失。
传播手段千变万化
此外,其还擅长使用白利用、内存loader等技术手段,实现多阶段投递,并使用云笔记存储payload数据,这导致了其能够迅速传播和潜伏在系统中,具备高度隐蔽性和复杂的功能。为能够高效传播扩散,银狐木马的伎俩千变万化,以下为几大典型的投毒场景:
一旦有用户陷入误导,便会跟随虚假指引下载木马安装包,主动安装木马。这类投放方式面向的是普通大众,而虚假站点通常也是直接仿冒各类知名大站,普通用户往往难辨真伪。
某搜索引擎中搜索到的虚假钓鱼站点
虚假钓鱼站点页面
伪装为SecureCRT的银狐木马下载页面
360拦截挂载于网盘中的恶意木马包
机关算尽只为长期驻留
想法设法延长存活时间
对于一般病毒木马来说,用户即便中招,也可以通过杀毒清理或杀毒软件的主动扫描、推送扫描机制,将其快速灭活,所以在完成防御对抗后,木马还要想方设法的延长其存活时间。
常见的木马驻留方式,主要是Run自启动项、服务项目、计划任务等。这些方式银狐木马中也都有体现,但银狐木马对其进行了一些“创新”。
加参数脚本实现启动。
安全软件实现长期驻留
目前,银狐类木马主要还是集中于“信息窃取”,利用其掌控的电脑,收集用户的个人信息以及企业信息,伺机发起诈骗。因此,银狐木马特别偏爱企业职工——尤其是企业财务人员。
其窃取的主要信息包括:微信密钥与聊天记录、企业财税文件、企业工资单等企业财务相关内容。另外木马还会实时检测用户对电脑的操作过程,掌握用户的身份与操作习惯等。
除了用于诈骗外,窃取虚拟货币,以及利用被控制的“肉鸡”实施挖矿,进行DDoS攻击也在部分银狐木马的“菜单”中。
360全面抵御银狐威胁
这套方案主要是由360企业安全浏览器、360终端安全管理系统、360安全云组成:
360终端安全管理系统:四大立体引擎协作,再高级的变种也难逃法眼!
360终端安全管理系统,针对银狐木马等提供先进的防病毒功能,通过云查杀引擎、鲲鹏引擎、QVM人工智能引擎、QEX脚本检测引擎构建的多维智能检测体系,并配合主动防御,支持对蠕虫病毒、恶意软件、APT、广告软件、勒索软件、引导区病毒的检测查杀。
四大引擎实现后端病毒特征自动分析提取、抽取出病毒与恶意代码共性特征,建立恶意代码不同族系模型,同时,可将变种繁多的宏病毒置入模拟器执行,通过既定输出参数精确判断宏病毒后执行精确查杀。
360安全云:终端安全专家托管服务,大模型赋能云化专家7*24全天候守护终端安全!
依托超过3000名云化安全专家,提供7×24小时全天候监测、响应和处置服务,每天执行超过560亿+次的云端查杀操作,平均每秒查杀64.8+万次,每日拦截勒索攻击100万+次、挖矿攻击1000万+次、网络电信诈骗6000万+次,为客户终端设备提供有效的安全托管服务,助力客户能够快速发现异常,自动化响应处置。在帮助企业节省人力、资金的前提下,进一步提高安全水平,为银狐病毒防护建立安全屏障。
1.人员角度:重视对财税人员的信息安全培训,加强财税人员的信息安全意识和识别能力;
2.技术层面:通过各类软/硬件防护体系的构建,对财税设备与各类服务器设备、一般办公设备、其他类型重要设备均进行安全隔离和专项防护。最大限度的保障各类设备组群的相对独立性及安全性;
3.制度层面:完善财税等重要岗位的责任制度,将信息安全的相关能力和事故影响纳入到考核指标及问责体系当中。
发表评论
您还未登录,请先登录。
登录