近年來， 一款名為“銀狐木馬”（又稱“游蛇”）的惡意程序在國內及亞太地區悄然肆虐 ，其攻擊目標精準鎖定政府機構、 金融 、醫療及制造業的高價值崗位人員（如財會、高管等）， 以狡猾的偽裝手段和復雜的技術鏈條，成為企業安全防御體系中的“隱形炸彈” 。

據悉，這是一種具有高度隱蔽性和復雜功能的惡意軟件，“毒如其名”，善于偽裝，就像一只狡猾的狐貍，潛伏在財稅/政務領域，常常偽裝成“財會發票”“稅務稽查通知”“企業福利補貼名單”等文件，以迷惑用戶點擊。其傳播渠道廣泛，包括 微信 群、釣魚郵件、各類 社交 媒體 等，還利用搜索引擎競價排名、SEO引流等手段誘導用戶下載，使用戶防不勝防。

“狡詐銀狐”持續進化 ? 入侵手段層出不窮

自2019年首次曝光以來， 銀狐已迭代多個版本，持續 增強免殺對抗 與持久化駐留能力 。最新變種在攻擊手段上更為狡猾和復雜，它充分利用人性弱點，偽裝吸引用戶點擊下載到 PC 上，并通過多階段內存加載、白加黑劫持、驅動級對抗等先進技術手段，巧妙地規避殺軟檢測，形成了 “傳播-駐留-竊密”的全鏈路攻擊閉環 。一旦獲得終端權限，銀狐或潛伏監視，長期收集用戶數據，或直接操控受害機器拉群傳播木馬和實施二維碼詐騙，直接威脅企業核心資產與個人隱私安全，堪稱企業安全的“隱形炸彈”。

當前，銀狐入侵手段層出不窮，最新版本通過四大手段突破傳統防御：

一是偽造官方機構通知，借時事熱點釣魚 。銀狐團伙擅長結合政策節點偽造“稅務局”“財政部”等官方文件，例如在稅務稽查高峰期，通過郵件、短信發送釣魚鏈接，頁面仿真度極高，誘導受害者點擊后自動下載木馬程序。

二是社交 平臺廣 撒網，釣魚 文件秒變“病毒快遞” 。 通過社交渠道發送釣魚文件和二維碼，直接在微信群、QQ群等群組中傳播虛假鏈接，迅速擴大感染范圍。2025年上半年，已有多家企業員工受害，銀狐團伙通過工作群傳播詐騙信息，進而盜取員工財產。

釣魚二維碼/微信群轉發

三是高仿辦 公軟件 下載頁，精準 捕捉職場需求 。 銀狐團伙還深諳國內辦公習慣，復刻官網構造各類軟件下載仿冒頁面，如緊跟時事仿冒DeepSeek本地部署等常見辦公軟件，未仔細分辨的用戶極易不慎下載木馬。

緊跟時事，仿冒DeepSeek本地部署

各種仿冒辦公軟件

四是云存儲平臺隱身術，令溯源追蹤難上加難。 為規避安全監測，銀狐將惡意程序偽裝成“行業報告”“設計素材”“學習資源”等文件，托管至知名網盤或云服務商的對象存儲服務（OSS，Object Storage Service）。由于云平臺IP動態分配且資源鏈接分散，安全團隊難以通過傳統IP封禁或域名攔截手段溯源，形成“下載即中毒，中毒難追責”的攻擊閉環。

網盤中掛載的銀狐

騰訊 iOA ?EDR實戰 ? 助力企業“精準獵狐”

第一幕：偽裝正常軟件悄然潛入

近期，騰訊iOA團隊就幫助某 游戲 開發公司成功定位并阻斷銀狐攻擊。公司內部人員在網絡上下載了某軟件安裝包，當用戶點擊安裝時，騰訊iOA EDR的內核探針瞬間捕獲異常行為：未簽名的lets-3.12.3.exe正釋放可疑的msi安裝包，此處就已觸發了EDR告警，可以清晰地看到，EDR界面詳細地展示了攻擊詳情，包括進程命令行、文件名、文件路徑等信息。

具體來說，銀狐木馬偽裝入侵，在初始階段即被iOA及時發現。 首先，安裝包簽名過期。 EDR的文件信譽系統采集到該安裝包無有效簽名，同時關聯圖引擎追溯到文件源于Edge瀏覽器的異常下載，形成“瀏覽器-惡意文件-釋放行為”的初始攻擊鏈證據。 其次，檢測到連鎖惡意操作。 可疑安裝包在執行時觸發了連鎖惡意動作——msiexec.exe應用調用cmd.exe啟動了hotdog.exe，該程序正是被銀狐改造的黑客工具Nidhogg，該工具正嘗試通過“進程保護”繞過常規殺毒軟件檢測，iOA及時發現并幫助用戶快速處置。

安裝包簽名過期

連鎖惡意操作

第二幕： 內核級探針 捕獲異常行為鏈

與此同時，銀狐木馬在入侵電腦的C:\Program Files (x86)\Windows NT目錄下植入tprotect.dll驅動，并創建自啟動服務“CleverSoar”，準備為下一步非法外聯做準備，誰料一系列的動作都被iOA納于眼底，立刻觸發了一條EDR告警。

接下來，EDR持續發威，異常行為被持續關聯，溯源鐵證逐步浮現。msiexec → cmd → hotdog的異常情況被完整記錄，命令行參數顯示正執行“process add 6772”等攻擊指令；同時，銀狐木馬寫入注冊表的隱藏計劃任務被EDR及時發現并實時攔截，盡管銀狐木馬注冊表項描述偽裝為“Microsoft”，但路徑與時間戳仍然暴露了其惡意屬性，進一步坐實了攻擊證據。

進程調用鏈條全鏈路展示

持久化證據確鑿

第三幕：多維度檢測阻斷攻擊閉環

同一時間，銀狐木馬所關聯的runtime.exe進程嘗試連接域名8004.twilight.zip，一旦外聯成功，PC將被黑客遠程控制，千鈞一發之際，EDR通過騰訊威脅情報庫精準識別，確認外聯端為銀狐C2控制端，并及時在控制臺產生對應告警信息。

EDR防御矩陣同步啟動：

終端行為阻斷 ：iOA成功攔截了MSI文件的釋放，終止了惡意進程hotdog.exe，并將其隔離至沙箱。同時，通過識別tprotect.dll驅動的簽名時間與系統環境的沖突，并借助iOA圖引擎追溯到文件源頭，形成了完整的初始攻擊鏈證據。

持久化清除： 安全研判介入后，迅速下發終端響應任務，刪除了注冊表Tree路徑下的隱藏任務項，并修復了被篡改的計劃任務配置。此外，還停止了CleverSoar服務并清除了驅動文件，有效阻斷了內核級駐留。

外聯行為阻斷： EDR基于威脅情報實時阻斷了C2域名解析，禁止可疑進程聯網，并生成了詳細的網絡訪問日志，記錄了惡意IP的通訊企圖。

通過以上自動化手段， iOA 構建起一整套智能防御體系 ，并在本次實戰攻防演練中成功抵御銀狐木馬的高強度攻擊，充分展現了 “主動防御+智能響應” 的創新安全防護理念。

全鏈路可見性： 完整記錄從釣魚文件下載到C2通信的全流程事件，通過溯源圖直觀呈現攻擊鏈各環節，為安全復盤提供堅實證據。

多層級對抗能力： 內核級探針+行為分析+威脅情報，形成立體防御體系，有效應對銀狐木馬如“多階段內存加載 + 驅動級對抗”等高級攻擊手段。

自動化響應效率： 騰訊iOA EDR通過預設響應策略，實現“秒級檢測+分鐘級處置”，顯著降低安全團隊的應急響應壓力。

攻防對抗 ? 持久戰未歇

網絡安全的本質是攻防對抗，這是一場永不停歇的持久戰，需要行業各方協同應對。針對當前銀狐木馬的日益猖獗，騰訊iOA團隊聯合科恩實驗室特別提醒：

提高警惕，謹防釣魚攻擊： 切勿隨意打開來歷不明的鏈接、點擊接收未知來源的郵件附件或下載安裝非可信渠道的應用，對微信群、QQ 群等社交媒體傳播的非官方通知和程序保持高度警惕；

謹慎處理敏感信息： 涉及個人敏感信息輸入（如銀行卡號、 手機 驗證碼等）或錢財轉賬時，務必謹慎核對信息來源與用途，確保操作安全合法；

及時部署安全軟件： 建議部署企業級終端安全軟件，開啟釣魚防護和實時監控功能，并保持系統與安全軟件版本及時更新，以具備最新防護能力。

同時，騰訊iOA為不同規模的用戶提供了兩套銀狐木馬防護解決方案：

針對500點以下的中小企業用戶， 騰訊 iOA 基礎版永久免費開放 ，提供完整的病毒查殺、釣魚防護、終端加固等安全能力，滿足中小企業的終端安全防護需求。

針對500點以上的中大型企業，騰訊iOA也可以提供免費試用，在基礎安全防護能力之上，還額外提供 終端檢測與響應EDR模塊 ，配套 騰訊安全 專家在線 研 判服務 ，讓各類高級安全威脅無所遁形！

掃描下方海報二維碼，即可快速開通騰訊iOA基礎版，永久免費使用！