|
1 |
终端已失陷:天守EDR临危受命
近期,某客户的财务人员钉钉上被拉进一个名为“2025补贴申领”的群,群里发着盖红章的正式通知,要求扫码登记银行卡信息。奇怪的是,这个群不是IT建的,也不是HR发起的——而是由一位同事的账号私自创建的,而那位同事自己完全不知情。
客户安全团队立刻意识到问题不对劲,但棘手的是,终端上查不到任何病毒告警,杀毒软件显示“一切正常”,网络流量也看不出异常外联。在传统安全手段全面失效的情况下,该客户紧急联络了天守EDR安全运营团队介入处置。
尽管客户是在已感染银狐木马后才部署天守EDR。天守EDR依旧凭借ATT&CK技战术框架全覆盖的攻击能力,成功帮助客户拦截了银狐木马的下一步动作,对其进行了完整的清理,阻断了银狐木马的进一步传播与利用。
图示:天守EDR揭示银狐攻击动作
|
2 |
骗局初现:虚假消息与资金盗刷
此次事件中,受害者在下载浏览器软件时,未经仔细甄别,无意间通过仿冒下载站点安装了盗版安装包,致使主机被银狐病毒感染,导致该企业进一步遭受信息泄露、资金盗刷等一系列攻击行为。
终端失陷后,攻击者控制该员工的微信、钉钉等社交账号,并在钉钉上拉其他人进入伪装成“财务部xxxx群” 的聊天组,同时,在群里面会发送命名为"《2025综合补贴》在线申领办理通知"的文档。文档末尾附带钓鱼二维码——扫码后自动跳转到仿冒的“企业补贴申领页面”,要求填写姓名、身份证号、银行卡号、短信验证码。攻击者拿到隐私信息后,会立即尝试盗刷账户资金。
图示:办公群组发送恶意文档
同时,攻击者会在微信的私聊或群聊中发送钓鱼信息,并附带上钓鱼二维码,诱导用户进入虚假小程序,以“提取需缴纳保证金”为由,引导受害者进行转账,单笔的诈骗金额多数在500-2000元之间。
图示:聊天消息发送钓鱼二维码
在实施诈骗的同时,银狐黑产人员会在微信/企业微信的群聊中,发送银狐木马(多数名为 xxxx年第x季度内职人员违纪名单信息),进行进一步的扩散传播。
图示:天守EDR揭示恶意文件二次传播
|
3 |
记录在案:天守EDR阻断银狐攻击链
图示:受害者下载恶意文件
终端中毒后,存在未知进程C:\Users\Public\Documents\lutddtfb.exe,该进程采用内存加载方式部署ghost远控模块,规避传统杀毒软件的磁盘落地检测,天守EDR通过内存行为监测与代码特征比对,可有效捕获此类隐蔽载荷。
图示:天守EDR揭示威胁事件
图示:天守EDR揭示详细威胁行为
建立C2通道是攻击者获取持续控制权的关键节点,恶意进程C:\Users\Public\Documents\lutddtfb.exe在该阶段链接恶意C2服务器。天守EDR基于网络行为异常与域名信誉分析,可全面识别快速轮换的C2通信。
图示:天守EDR揭示银狐C2连接行为
银狐主动关闭本地安全机制,以降低后续操作被拦截的风险。恶意进程C:\Program Files\xwknyyl\winzsdcxkne.exe在该阶段会通过注册表关闭Windows Defender和UAC。天守EDR可实时监测关键安全策略变更,及时发出告警。
图示:天守EDR揭示银狐恶意关闭defender
图示:天守EDR揭示银狐恶意关闭UAC
违规调用系统正常进程是银狐常用的攻击手段,进程C:\Program Files\xwknyyl\winzsdcxkne.exe在该阶段创建名为jzr.exe的子进程,该进程实际为系统进程svchost.exe。
图示:天守EDR揭示银狐违规启用svchost.exe
通过服务注册实现持久化,确保木马在系统重启后仍具备执行能力,是高级威胁长期潜伏的基础。进程C:\Program Files\xwknyyl\setup.exe在该阶段通过创建服务实现持久化驻留。天守EDR可监测异常服务创建行为,阻断持久化路径。
天守EDR:揭示银狐恶意创建服务
|
4 |
防护建议
针对银狐类融合社工与终端渗透的攻击,企业应从管理和技术两方面采取以下可操作措施:
