银狐木马近期再度升级，利用热门Web应用漏洞，将政府、企事业单位网站变为传播源。攻击者利用UEditor、KindEditor、ThinkPHP等应用的漏洞植入木马，用户访问被篡改的网站后，会下载并执行恶意代码。该木马利用PoolParty注入技术规避安全软件拦截，并通过修改注册表和添加计划任务持久驻留。360安全大模型监测到此次攻击，并推出基于安全大模型赋能的银狐病毒防护实战化解决方案，通过360终端安全管理系统，提供多维智能检测体系和主动防御，实现对银狐木马的全方位遏制。

🖥️银狐木马主要通过QQ、微信等即时通信软件传播，伪装成工作相关文件，诱骗用户点击执行，从而实现对目标计算机的远程控制。

💣该木马利用UEditor、KindEditor、ThinkPHP等热门Web应用的上传漏洞，将政府、企事业单位等正规网站作为木马的“传播源”，一旦用户访问这些被篡改的网站，就会执行恶意链接并下载木马。

🛡️银狐木马利用PoolParty注入技术代替常规的代码注入，将代码注入到系统进程中实现驻留，规避安全软件拦截，并且会修改注册表启动项和添加计划任务增加自身的“生存几率”。

🔗此次攻击中，某直通服务平台被植入的木马链接会下载某正规安全终端软件，该软件被银狐木马团伙恶意利用来实现对受害用户机器的入侵，从而控制用户机器，窃取信息。

⚙️360推出基于安全大模型赋能的银狐病毒防护实战化解决方案，其中360终端安全管理系统基于320亿样本、4大引擎能力构建了主动防御场景，能够提供入口-浏览器-系统级行为分析能力，实现针对银狐木马的全方位“绞杀”。

木马“卷王”再度升级传播手段，360全方位遏制银狐变种发布时间 : 2024-12-12 14:40:28今年的木马病毒界，银狐木马可谓当之无愧的“卷王”。该木马主要在QQ、微信等即时通信软件上，通过伪装成如发票、财税文件等与工作相关的文件，并利用“查_看_uninstall.exe”、“11月名单.exe”等文件名或链接，诱骗用户点击下载和执行，从而实现对目标计算机的远程控制。在不到一年的时间里，银狐木马凭借攻击方式、攻击组件部署方式、恶意样本投递方式的连续迭代，变种频出，与杀毒软件持续对抗。就在近期，360安全大模型再次监测到一个被长期监控的银狐木马团伙更新了传播手段，对广大政企机构造成严重威胁。由于很多Web应用的上传接口对图片、附件等文件的访问没有限制，攻击者可以很轻松的在网站上完成病毒上传或者挂马行为。据360安全大模型监测，KindEditor、WordPress、UEditor、ThinkPHP等数十款热门Web应用均存在此类漏洞风险，该团伙正是利用这些上传漏洞，让很多政府、企事业单位、大型国企的正规网站成为了银狐木马的“传播源”。UEditor是国内一款被广泛使用的Web前端编辑器，攻击者可以利用其早期版本存在的上传漏洞上传可被执行的恶意代码脚本，从而获取Web服务器的管理权限。 360监测到国内某博物馆主页便使用了带有漏洞的UEditor编辑器，这也导致了其主页在今年十月被黑客篡改并植入了银狐木马。一旦有用户访问该页面，便会执行恶意链接并跳转到某盘的木马下载共享链接，进行木马下载操作。由于该网站属于是正规网站，可信度较高，最终导致很多用户的设备遭到银狐木马的感染和控制。另一款广受青睐的Web前端编辑器——KindEditor在某些版本中存在的上传漏洞仅允许攻击者可以上传.txt和.html文件。但因为这些文件可以嵌套暗链接或XSS攻击代码，攻击者同样可以通过构造恶意的html文件来实现跳转、钓鱼等恶意行为。360根据大数据排查发现，某家专注于提供智慧机器人、智能控制器一体化解决方案的科技公司，产品广泛应用于航天、5G通讯、人工智能、医疗设备、轨道交通、智能卫浴、工业控制、新能源等众多领域。该公司网站由于使用了带有漏洞的KindEditor编辑器，导致在今年十月被攻击者利用挂载了银狐木马。当该公司的客户或远控访问其主页时，便会下载银狐木马到设备中。更为值得重视的是，被植入到该网站的银狐木马还会利用PoolParty注入技术代替常规的代码注入方法，会在执行后将代码注入到系统进程中实现驻留，规避安全软件拦截，并且会修改注册表启动项和添加计划任务进一步增加自身的“生存几率”。与上述的宽页面编辑器不同，ThinkPHP 是一个流行的PHP开发框架，但其某些版本中同样存在任意文件上传漏洞。攻击者可以利用此漏洞上传恶意脚本文件，从而获取服务器的控制权、执行任意代码，同样可能导致数据泄露、服务器被入侵等严重后果。360发现某直通服务平台由于使用了V5.0.24版本的ThinkPHP，而非当前最新版本，导致今年十一月被挂载木马，被挂载的银狐木马同样也是通过某网盘的共享链接，下载到受害者机器中。某直通服务平台被攻击并植入恶意下载链接略有区别的是该链接下载到的是某正规安全终端软件，该终端提供了远程控制功能，此功能允许管理员从远程位置安全地访问和控制终端计算机，从而进行实时的监控和管理。该安全终端被银狐木马团伙恶意利用来实现对受害用户机器的入侵，从而可以控制用户机器，窃取机器信息以及进行进一步的恶意行为。不难看出，该轮银狐木马瞄准的对象大多为政企正规网站，该类网站一般都会受到聊天软件、安全软件，以及相关用户的高度信任，导致传播范围、影响力度再度升级。鉴于近期的银狐木马攻击事件，360建议广大政企机构应尽快构建更加体系化、实战化、智能化的数字安全防御体系。基于多年攻防实战经验和能力，360推出基于安全大模型赋能的银狐病毒防护实战化解决方案。其中360终端安全管理系统作为方案的重要组成，基于320亿样本、4大引擎能力构建了主动防御场景，能够提供入口-浏览器-系统级行为分析能力，为用户构建云地一体主动防御体系，实现针对银狐木马的全方位“绞杀”！360终端安全管理系统针对银狐木马提供先进的防病毒功能，通过云查杀引擎、鲲鹏引擎、QVM人工智能引擎、QEX脚本检测引擎构建的多维智能检测体系，并配合主动防御，支持对蠕虫病毒、恶意软件、APT、广告软件、勒索软件、引导区病毒的检测查杀。四大引擎实现后端病毒特征自动分析提取、抽取出病毒与恶意代码共性特征，建立恶意代码不同族系模型，同时，可将变种繁多的宏病毒置入模拟器执行，通过既定输出参数精确判断宏病毒后执行精确查杀。基于360安全大模型的赋能，360终端安全管系统在银狐木马病毒的分析中，能够通过实时分析网络流量和主机行为日志，识别异常行为和潜在威胁，提供自动响应和阻断措施；同时通过事件关联分析和溯源，能够帮助快速追踪攻击源头。此外，360安全大模型还能够辅助漏洞管理和修复，提升员工的安全意识和防范能力，优化数据备份策略，确保在攻击发生后有效恢复数据，从而全面提高企业的病毒防护能力。360终端安全管理系统具备兼容操作系统CPU保护机制，能采集超越系统层面的各类与安全行为相关的数据，告警高精度、高可信，实现全面遏制银狐病毒的各个攻击路径和手段，如横向渗透、无文件攻击、提权攻击、模拟点击、内核漏洞、RPC漏洞攻击、DCOM攻击、登录凭据窃取等。360终端安全管理系统通过大数据分析、人工智能算法与可视化技术，能够实时捕捉并分析网络中的异常行为，精准识别银狐病毒等潜在威胁。通过威胁大屏，所有安全态势一目了然，无论是攻击源追踪、感染路径分析，还是威胁预警，皆在掌握之中，让安全管理团队迅速响应，有效遏制病毒扩散。 商务合作，文章发布请联系 anquanke@360.cn 分享到：安全客分享到：