一次看似普通的軟件下載安裝，最后卻演變成一臺(tái)門(mén)店電腦被遠(yuǎn)程操控、在微信群自動(dòng)發(fā)送釣魚(yú)二維碼的安全事件。

4月17日下午，某客戶旗下一家連鎖門(mén)店的電腦出現(xiàn)異常。

當(dāng)時(shí)用戶并不在電腦旁，但這臺(tái)電腦卻在微信群里“自己動(dòng)了起來(lái)”，向群內(nèi)發(fā)送釣魚(yú)二維碼，誘導(dǎo)他人掃碼付款。直到客戶發(fā)現(xiàn)異常并請(qǐng)求排查，這起事件才進(jìn)入安全團(tuán)隊(duì)視野。

最終確認(rèn)，這并不是普通的系統(tǒng)故障，而是一起典型的銀狐木馬入侵事件。

更值得警惕的是，這臺(tái)終端并非完全沒(méi)有安全軟件，卻依然在木馬落地、駐留、遠(yuǎn)控和對(duì)外傳播的整個(gè)過(guò)程中，沒(méi)有形成有效攔截。

這也讓一個(gè)問(wèn)題變得非常現(xiàn)實(shí)：

為什么傳統(tǒng)殺毒軟件沒(méi)能發(fā)現(xiàn)它？如果這臺(tái)終端當(dāng)時(shí)部署了UniEDR，攻擊鏈又會(huì)在哪一步被切斷？

一次看似普通的下載，為什么會(huì)變成一次遠(yuǎn)控入侵？

結(jié)合現(xiàn)場(chǎng)排查結(jié)果，這次攻擊鏈并不復(fù)雜，但足夠隱蔽。

4月14日，用戶從仿冒網(wǎng)站下載了一個(gè)“釘釘安裝包”并執(zhí)行。表面上看，它只是一個(gè)常見(jiàn)的安裝程序；實(shí)際上，這正是銀狐木馬的入口。

在很多企業(yè)環(huán)境里，員工對(duì)“釘釘、微信、輸入法、辦公插件”這類(lèi)軟件的下載安裝早已習(xí)以為常。攻擊者也正是利用這種心理，通過(guò)高仿官網(wǎng)、相似文件名和看起來(lái)“沒(méi)什么問(wèn)題”的安裝流程，讓用戶主動(dòng)完成木馬投遞。

▲用戶下載目錄中出現(xiàn)偽裝成正常軟件的可疑壓縮包

繼續(xù)排查后可以看到，這個(gè)所謂的“釘釘安裝包”雖然名稱(chēng)看起來(lái)正常，但文件屬性已經(jīng)暴露出異常線索。尤其是原始文件名信息，并不像真實(shí)辦公軟件那樣規(guī)范。

▲文件屬性顯示其原始文件名存在明顯異常，是排查過(guò)程中的關(guān)鍵證據(jù)之一

為什么傳統(tǒng)殺毒軟件沒(méi)報(bào)警？

很多人會(huì)直覺(jué)地認(rèn)為：電腦明明裝了主流殺毒軟件，為什么還是中招了？

原因在于，銀狐這類(lèi)木馬的核心思路，本來(lái)就是繞開(kāi)傳統(tǒng)基于文件特征的檢測(cè)方式。

簡(jiǎn)單來(lái)說(shuō)，它最危險(xiǎn)的部分往往并不直接寫(xiě)在安裝包表面，而是在運(yùn)行過(guò)程中才被解密、加載，甚至直接注入到內(nèi)存里執(zhí)行。這樣一來(lái)，傳統(tǒng)殺毒軟件即使掃描了落地文件，也很可能只能看到一個(gè)“看起來(lái)還算正?！钡耐鈿ぁ?/p>

問(wèn)題不在于“有沒(méi)有掃描”，而在于“能不能看見(jiàn)運(yùn)行時(shí)真正發(fā)生了什么”。

木馬是怎么一步步控制這臺(tái)電腦的？

從應(yīng)急分析結(jié)果來(lái)看，這個(gè)“假釘釘”被執(zhí)行后，主要完成了四件事。

第一，它將自身釋放到系統(tǒng)目錄中，并偽裝成看起來(lái)像正常軟件組件的文件，試圖混入常規(guī)進(jìn)程環(huán)境。

第二，它建立開(kāi)機(jī)自啟動(dòng)機(jī)制，確保即使電腦重啟，木馬依然能夠繼續(xù)運(yùn)行。

▲木馬通過(guò)啟動(dòng)項(xiàng)快捷方式實(shí)現(xiàn)持久化，保證重啟后仍可繼續(xù)活動(dòng)

第三，它不再依賴明顯的惡意文件活動(dòng)，而是轉(zhuǎn)向更隱蔽的內(nèi)存操作和進(jìn)程注入，讓惡意代碼借助合法進(jìn)程外殼繼續(xù)執(zhí)行。

第四，它與外部控制端建立連接，為后續(xù)的遠(yuǎn)程操控提供通道。

也正因?yàn)槿绱耍罱K才出現(xiàn)了“用戶不在場(chǎng)，但電腦卻在微信群自動(dòng)發(fā)送釣魚(yú)二維碼”的情況。

從業(yè)務(wù)視角看，這已經(jīng)不是“終端中毒”這么簡(jiǎn)單，而是一次能夠直接影響客戶、門(mén)店和品牌信譽(yù)的安全事件。

如果部署了聯(lián)軟UniEDR，攻擊會(huì)停在哪里？

答案是從木馬開(kāi)始執(zhí)行起。

案例說(shuō)明了銀狐雖然能夠繞過(guò)傳統(tǒng)文件檢測(cè)，但它在運(yùn)行過(guò)程中會(huì)暴露出非常清晰的行為特征。

在聯(lián)軟UniEDR測(cè)試環(huán)境復(fù)現(xiàn)樣本后，可以看到從木馬執(zhí)行開(kāi)始，相關(guān)行為已經(jīng)被連續(xù)捕獲出來(lái)，包括異常內(nèi)存申請(qǐng)、跨進(jìn)程線程注入、進(jìn)程鏤空準(zhǔn)備、持久化動(dòng)作以及后續(xù)聯(lián)網(wǎng)行為。

▲在聯(lián)軟UniEDR測(cè)試環(huán)境復(fù)現(xiàn)樣本后，從行為鏈角度看，多個(gè)關(guān)鍵階段都已經(jīng)形成連續(xù)告警

如果拆開(kāi)來(lái)看，幾個(gè)關(guān)鍵動(dòng)作尤其典型。

Stage 1：異常內(nèi)存申請(qǐng)

木馬開(kāi)始向自身申請(qǐng)可執(zhí)行內(nèi)存并寫(xiě)入惡意載荷，這一步往往是很多內(nèi)存型攻擊真正“露頭”的起點(diǎn)。

▲在聯(lián)軟UniEDR測(cè)試環(huán)境復(fù)現(xiàn)樣本后，木馬執(zhí)行后出現(xiàn)異常內(nèi)存申請(qǐng)行為

Stage 2：跨進(jìn)程線程注入

隨后，木馬會(huì)將惡意代碼注入到其他進(jìn)程中執(zhí)行，借助合法進(jìn)程作為外殼隱藏自身。

▲跨進(jìn)程線程上下文操作，是銀狐家族非常典型的攻擊手法

Stage 3：為進(jìn)程鏤空做準(zhǔn)備

再往后，木馬會(huì)進(jìn)一步修改目標(biāo)進(jìn)程的內(nèi)存屬性，為后續(xù)更深層的惡意執(zhí)行鋪路。

▲目標(biāo)進(jìn)程的內(nèi)存保護(hù)屬性被修改，攻擊行為進(jìn)一步升級(jí)

Stage 4：權(quán)限維持與持久化

木馬通過(guò)啟動(dòng)項(xiàng)、注冊(cè)表等方式維持高權(quán)限運(yùn)行，避免被系統(tǒng)重啟或普通清理動(dòng)作輕易移除。

▲注冊(cè)表關(guān)鍵路徑被修改，表明木馬正在嘗試維持權(quán)限與駐留

Stage 5：內(nèi)存威脅最終命中

當(dāng)惡意代碼在內(nèi)存中真正展開(kāi)后，內(nèi)存威脅檢測(cè)會(huì)進(jìn)一步給出更明確的判定信號(hào)。

▲惡意代碼即使不以明顯惡意文件形態(tài)存在，也會(huì)在內(nèi)存中暴露真實(shí)風(fēng)險(xiǎn)

換句話說(shuō)，在 UniEDR 的復(fù)現(xiàn)分析視角下，銀狐能偽裝文件名，能繞過(guò)靜態(tài)查殺，但很難偽裝自己“正在做什么”。

這正是 EDR 與傳統(tǒng)殺毒軟件的核心區(qū)別：

傳統(tǒng)殺軟更擅長(zhǎng)看“文件像不像惡意樣本”；

而EDR更擅長(zhǎng)看“進(jìn)程此刻是不是在做惡意行為”。

它還會(huì)主動(dòng)對(duì)外通信

除了本地駐留和進(jìn)程注入，這類(lèi)木馬還會(huì)主動(dòng)與外部控制端建立通信。

在本次樣本運(yùn)行過(guò)程中，可以看到相關(guān) DNS 查詢與 TCP 連接行為，指向同一外部地址。

▲在UniEDR測(cè)試環(huán)境復(fù)現(xiàn)樣本后，木馬運(yùn)行后出現(xiàn)對(duì)可疑外部地址的 DNS 查詢行為

▲終端進(jìn)一步與外部地址建立TCP連接，為遠(yuǎn)程控制提供通道

這也是為什么，一旦終端缺少對(duì)運(yùn)行態(tài)攻擊的有效防護(hù)，攻擊者幾乎可以把它當(dāng)成一個(gè)可遠(yuǎn)程操控的跳板。

這起事件給企業(yè)提了什么醒？

這次事件表面上發(fā)生在一臺(tái)門(mén)店電腦上，但它暴露出的，其實(shí)是很多企業(yè)共有的終端安全短板。

一是門(mén)店、分支機(jī)構(gòu)、前臺(tái)等場(chǎng)景的終端覆蓋不完整。一旦這些設(shè)備沒(méi)有納入統(tǒng)一防護(hù)和監(jiān)測(cè)體系，就很容易成為攻擊者優(yōu)先下手的入口。

二是過(guò)度依賴傳統(tǒng)殺毒軟件，把“裝了殺軟”誤認(rèn)為“具備了終端對(duì)抗能力”。面對(duì)銀狐這類(lèi)以運(yùn)行時(shí)對(duì)抗為主的威脅，僅靠傳統(tǒng)查殺已經(jīng)越來(lái)越不夠。

三是很多企業(yè)的安全動(dòng)作仍停留在事后補(bǔ)救。等到木馬開(kāi)始遠(yuǎn)控、對(duì)外傳播甚至引發(fā)業(yè)務(wù)損失時(shí)，再去逐臺(tái)排查和手動(dòng)清理，成本高、效率低，風(fēng)險(xiǎn)也更大。

這也是為什么，終端安全建設(shè)不能只停留在“能不能掃出病毒”，而要進(jìn)一步走向“能不能持續(xù)發(fā)現(xiàn)異常、阻斷攻擊、聯(lián)動(dòng)處置”。

寫(xiě)在最后

銀狐木馬并不是新話題，但它仍然頻繁得手，原因并不神秘。它利用的是員工對(duì)常用辦公軟件的信任，規(guī)避的是傳統(tǒng)文件檢測(cè)的盲區(qū)，攻擊的是許多企業(yè)長(zhǎng)期沒(méi)有補(bǔ)齊的終端運(yùn)行態(tài)防護(hù)能力。

這起案例再次說(shuō)明，一臺(tái)沒(méi)有有效行為檢測(cè)能力的終端，在攻擊者眼里幾乎等于“裸奔”。

對(duì)于企業(yè)而言，真正需要解決的問(wèn)題不是“木馬是不是偽裝得足夠像”，而是“當(dāng)它開(kāi)始執(zhí)行危險(xiǎn)動(dòng)作時(shí)，我們能不能第一時(shí)間看見(jiàn)并攔住它”。

如果你的企業(yè)也面臨以下挑戰(zhàn)：

門(mén)店、分支機(jī)構(gòu)終端數(shù)量多，覆蓋難度大；

傳統(tǒng)殺毒軟件對(duì)新型木馬、內(nèi)存攻擊感知不足；

安全團(tuán)隊(duì)人手有限，難以及時(shí)處理分散終端上的高危事件。

那么，基于行為檢測(cè)、內(nèi)存檢測(cè)和自動(dòng)化處置能力的終端安全體系，已經(jīng)不再是“加分項(xiàng)”，而是越來(lái)越必要的基礎(chǔ)能力。

聯(lián)軟UniEDR 提供從事前預(yù)防、事中檢測(cè)到事后處置的全鏈路終端防護(hù)能力，能夠幫助企業(yè)更早發(fā)現(xiàn)銀狐這類(lèi)木馬的關(guān)鍵行為，并盡可能把攻擊攔在造成影響之前。