银狐木马年度报告 2025SILVER FOX TROJANANNUAL REPORT 2025 360安全能力中心反病毒部 2025年1 2月目录CONTENTS 第一章 银狐木马概况 (一)木马查杀 (二)新增变种一、目标人群及攻击范围变化 二、获利方式调整 三、查杀趋势变化 四、攻击地域与时间 (一)地域分布 (二)时段分布003 004 005 005 006 007 008 009P001 第二章 银狐木马的技术演进 一、传播方式 (一)IM传播类 (二)网站传播类 (三)邮件传播类 (四)漏洞传播类 (五)企业横向传播 二、木马潜伏 三、攻防对抗技术 (一)常规免杀手法 (二)利用 系统特性 (三)防护产品弱点利用 (四)第三方组件利用 四、驻留技术 (一)无文件与LOLBAS驻留 (二)利用合法软件进行驻留，打造“永久免杀”后门 (三)使用各类系统自启动项驻留 (四)通过注入ShellCode驻留运行 (五)通过软件劫持驻留运行P011 012 012 017 019 020 020 022 022 022 024 028 030 031 031 032 032 034 034一、威胁预防 (一)识别钓鱼 (二)识别群消息 二、排查与现场处置 三、中招设备排查与木马应急阻断 (一)环境排查 (二)进程与文件排查 (三)驻留排查 (四)通信类排查 (五)排查原则与应急阻断 四、攻击溯源采样 五、银狐木马清理 (一)常规清理 (二)顽固木马清理 (三)再次检查 (四)安全加固措施第三章 银狐木马应对方案 P050五、远控木马与远程控制 (一)自制远控 (二)利用合法远程工具 (三)购买商业远控 (四)使用企业管理软件 六、获利途径 (一)转账诈骗 (二)扫码电诈 (三)窃取虚拟货币数字资产 (四)投递勒索软件 七、制作团伙035 035 037 038 039 040 040 042 044 046 047 051 051 052 052 053 053 057 061 063 065 067 069 069 070 070 071第一章 银狐木马概况 P001 P010“银狐木马”，又名“游蛇”或“谷堕大盗”等，该名称因为被广泛使用，现已不再指 代某一特定家族木马，而是逐渐变为对一类木马程序的通称。其主 要是依托钓鱼攻击进行传 播的一类远程控制类木马，攻击目标以政企单位用户为主。 目前，银狐木马已成为国内最为活跃的木马家族。根据360安全智能体监测分析发现， 该木马家族背后的制作及免杀团伙有超过20个，并且还不断有新的木马团伙加入。过去一 年，对国内政企单位发起了数万起 攻击，给企业正常经营与生产安全造成了极大的影响。银狐木马概况 2025 银 狐木马年度报告 第一章 银狐木马概况 P002 2025 银 狐木马年度报告P003 第一章 银狐木马概况 一 目标人群及攻击范围变化 目前，“银狐 ”类木马的传播方式主要集中在三类渠道： 即时通讯工具（如：钉钉 、 微信等）、仿冒网站以及钓鱼邮件。其中，今年通过邮件传播的比例明显下降，而利用聊天 工具传播的比例有较明显上升。企业员工中招的初始因素，多为在钓鱼网站下载了银狐木 马，尤其是一些“代理”软件，被银狐木马大量利用。而在企业内大肆扩散更多是通过聊天 群进行传播。 在攻击目标方面，以往银狐木马更偏向“精准打击”，多针对财务人员、企业管理人员 等关键岗位，通过长时间伪装和反复沟通实施诈骗。但今年的情况有所变化，攻击者更倾向 于“广撒网”，对受害者身份不再特别挑选。只要感染到一台设备，木马 会收集其中的用户 信息，并利用受害者已登录的微信等聊天工具继续向联系人发送恶意文件，借此进一步扩散 ，并可能用来实施诈骗。59%银狐木马传播分布 钓鱼传播 15% 其它 25% 邮件传播 1% 通讯软件传播二 获利方式调整 在过去，银狐木马案件经常与大型诈骗案件关联，精准化攻击特征显著。往往针对企业 财务人员或公司高层发起攻击，动辄造成数十万甚至上百万元的损失。这类案件往往与电信 诈骗、公司对公转账操作深度绑定，攻击链条长、准备充分、手法复杂。攻击者通过各类技 术手段或直接窃取管理层社交、办公账号 ，误导财务人员执行大额对公转账。 而今年的情况出现了较为明显的变化。银狐木马更偏向于“广撒网”式的小额诈骗模 式，获利规模随感染量同步扩大。攻击者常常紧扣“企业所得税汇算清缴”“清明节放假通 知”等周期性 工作，或以“领取补贴”“系统退款”“平台违规处理”等名义通过微信/企业 微信等社交平台群发消息。也可能通过搜索引擎优化提升钓鱼网页曝光度，引导用户输入电 子账户信息、扫描虚假二维码进行小额转账。受害人群也从原来的特定岗位扩散到几乎所有 普通用户， 任何年龄、职业 人群都可能成为目标，甚至开始向海外华人群体延伸。相应地， 单笔诈骗金额大幅下降，通常在2000至3000元之间。但因受害设备会被当作“跳板”，通 过建群进行传播，导致木马传播量也出现了较大增长，整体危害依然不可忽视。 另外，有一部分通过特定渠道传播的“银狐”木马还具备专门针对数字资产的功能。它 们会精准扫描计算机中主流数字货币钱包客户端、交易所登录记录，不仅搜集窃取钱包信息 与私钥，还会提取浏览器保存的相关账号密码和Cookies数据，以替换交易地址等方式盗走 数字货币资产。这类攻击往往隐蔽性更强，且资金转移后难以溯源。一旦受害者财产被盗 ， 几乎无法追回，风险远高于传统诈骗。 除上述 主要获利方式外，银狐木马的获利链条还呈现出多元化、产业化特征。受控设备 被感染后，除用于直接诈骗外，还会被当作“跳板机” ，转卖或租赁给其他黑产团伙 ，用于 更大范围的网络攻击活动。而木马窃取的企业内部数据、个人隐私信息也会按类别打包，在 暗网批量出售给下游诈骗 团伙或信息中介，形成“窃密－分类－售卖”的独立变现渠道。更 值得警惕的是，其已形成“恶意软件即服务（MaaS）”的产业化运作模式，黑产团队会将 攻击工具、钓鱼模板、传播渠道等打包成标准化服务 ，向其他黑产团伙兜售。这在降 低诈骗 2 0 2 5 银 狐 木 马 年 度 报 告P004 第一章 银狐木马概况2 0 2 5 银 狐 木 马 年 度 报 告三门槛的同时 ，也按攻击效果提成获利。更有甚者，一些银狐木马变种还会作为勒索软件的前 置渗透工具，协助后续加密数据勒索，进一步拓宽了获利边界，危害从单一财产损失延伸至 数据泄露、系统瘫痪等多维度风险。 查杀趋势变化 （一） 木马查杀 2025年以来，银狐木马在对抗频次方面持续提速。其免杀版本更新频率 曾达到了分钟 级别，一天内可发布数百个各类 免杀更新 版本，实现快速迭代。整体传播趋势亦有显著上 涨，传播态势持续处于高位。在工作日，日查杀量维持在5万次/天以上。在传播高峰时期， 其周传播量甚至可达90余万次，根据360安全智能体拦截记录，对银狐木马的单日拦截量高 峰期曾超过20万次/天。 钓鱼网站拦截方面，2025年前11个月拦截超过1万个银狐钓鱼站点。尤其在今年7月 份，高峰期每天新增数百个银狐钓鱼站点。P005 第一章 银狐木马概况