近期，一種名為“銀狐木馬”（Silver Fox Trojan）的新型木馬病毒正在多個(gè)網(wǎng)絡(luò)平臺悄然擴(kuò)散。

該病毒主要面向醫(yī)院、高校、企業(yè)、政府、及事業(yè)單位等行業(yè)，已經(jīng)有不少用戶“中招”，造成社交賬號失控、銀行卡被盜刷、網(wǎng)銀賬戶被洗劫等嚴(yán)重后果。“銀狐”是什么？日常如何防范應(yīng)對？這份指南請查收！

Q

“銀狐”木馬病毒是什么？有哪些特征？

A

銀狐（又名：“游蛇”“谷墮大盜”等）是近年來國內(nèi)最為流行的一款“遠(yuǎn)控與電詐”類木馬。通過微信、QQ、郵件以及偽造工具網(wǎng)站等渠道進(jìn)行釣魚攻擊，主要面向政府、高校及企事業(yè)單位等。

該木馬病毒程序的變種大多只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境，攻擊團(tuán)伙通過投遞遠(yuǎn)控木馬，獲得受害者的計(jì)算機(jī)控制權(quán)限，在系統(tǒng)內(nèi)長期駐留，監(jiān)控用戶日常操作，竊取敏感信息或數(shù)據(jù)，利用受害者的微信、QQ等即時(shí)通信軟件來發(fā)送具有針對性的釣魚、欺詐類信息，實(shí)施釣魚攻擊和詐騙等違法行為，實(shí)現(xiàn)病毒的進(jìn)一步傳播。

Q

“銀狐”木馬在企業(yè)內(nèi)有哪些典型傳播方式？

A

1.定向釣魚郵件

郵件偽裝：通過偽裝成看似合法的發(fā)件人身份發(fā)送含有惡意附件或鏈接的郵件。如“違紀(jì)人員名單信息”為誘餌的病毒文件（附件通常以7z、rar、zip等常見壓縮包格式出現(xiàn)），誘導(dǎo)員工點(diǎn)擊下載，從而控制員工終端，建立群聊；以“夏季防暑降溫費(fèi)”為誘餌的釣魚鏈接，誘導(dǎo)群內(nèi)員工點(diǎn)擊惡意鏈接填寫銀行卡號等個(gè)人信息，造成員工信息泄露和財(cái)產(chǎn)損失。

宏代碼攻擊：如果附件是Office文件，則常常嵌入有惡意宏代碼。一旦啟用宏功能，這些惡意腳本就會被執(zhí)行，進(jìn)而下載和安裝木馬程序。

2.偽造應(yīng)用下載網(wǎng)頁并推廣

假冒合法應(yīng)用：創(chuàng)建高仿的應(yīng)用下載頁面，偽裝為熱門工具、游戲或辦公軟件，誘騙受害者下載含有木馬的應(yīng)用程序。

搜索引擎廣告投放：通過購買廣告位或優(yōu)化搜索引擎排名，使偽造頁面出現(xiàn)在搜索結(jié)果前列，提高受害者下載惡意程序的概率。

3.網(wǎng)頁掛馬

水坑攻擊：在政企人員頻繁訪問的網(wǎng)站或論壇中植入惡意代碼，受害者一旦訪問，瀏覽器會自動下載并執(zhí)行木馬程序。

廣告劫持：利用惡意廣告注入技術(shù)，在正常網(wǎng)頁的廣告彈窗分發(fā)木馬。

4.社交信息

鍵盤和鼠標(biāo)劫持：通過木馬獲取受害者設(shè)備的控制權(quán)限，利用受害者的社交軟件（如微信、企業(yè)微信、QQ）向其聯(lián)系人群發(fā)惡意鏈接或文件，達(dá)到木馬傳播的目的。

信任鏈攻擊：偽裝為受害者本人發(fā)送的消息，增強(qiáng)惡意鏈接的可信度，從而擴(kuò)散木馬傳播。

5.供應(yīng)鏈

軟件更新劫持：通過入侵第三方軟件庫，篡改其中的更新包或安裝包，將木馬偽裝為合法軟件的部分功能，借助供應(yīng)鏈傳播至受害者系統(tǒng)。

外包或合作渠道滲透：利用受感染的外包服務(wù)商或合作伙伴的程序或系統(tǒng)，以共享文件或系統(tǒng)集成為媒介傳播木馬。

Q

“銀狐”木馬傳播原因分析

A

①安全意識不足

員工缺乏安全與反詐意識，隨意在互聯(lián)網(wǎng)上下載應(yīng)用軟件；隨意點(diǎn)擊可疑文件和鏈接，未經(jīng)驗(yàn)證直接填寫個(gè)人銀行卡號、卡內(nèi)余額、交易密碼等敏感信息。

②通信軟件策略缺陷

軟件端暫未實(shí)現(xiàn)對建群頻次限制，被攻擊團(tuán)伙利用，短時(shí)間內(nèi)大范圍建群；建群后立即禁言、投毒并退群，防止群成員互相提醒，退群后刪除本地聊天記錄與緩存，逃避分析追蹤；異常群聊缺乏后臺統(tǒng)一管控與處置手段，出現(xiàn)異常建群后，尚無法通過后臺撤回消息、解散群聊，特別是群主變更后的群解散工作較為困難（當(dāng)前采取先定位群內(nèi)成員信息，再聯(lián)系群內(nèi)成員找到群主，由群主撤回消息解散群聊）。

③技術(shù)防護(hù)薄弱

部分子企業(yè)無終端防護(hù)軟件；殺毒軟件不能及時(shí)發(fā)現(xiàn)新型病毒，病毒文件在終端上能夠正常執(zhí)行，終端未對可執(zhí)行文件實(shí)施有效的執(zhí)行權(quán)限控制；互聯(lián)網(wǎng)安全防護(hù)的覆蓋范圍有限，未能全面保護(hù)所有下屬單位。對于已納入收口范圍的單位，能夠在發(fā)現(xiàn)IOC后第一時(shí)間完成全網(wǎng)封禁與攔截，但對于尚未納入收口的單位，仍存在無法在第一時(shí)間獲得防護(hù)的情況。

Q

日常如何防范？

A

①全流程安全技術(shù)防范措施——“技防”

終端防護(hù)：企業(yè)統(tǒng)一部署安裝新一代終端防護(hù)軟件或殺毒軟件，確保防護(hù)無死角，并采用集中管理策略，保證病毒庫與特征庫實(shí)時(shí)更新，做到受控終端斷網(wǎng)隔離；全盤查殺，保留終端樣本；病毒樣本分析，全網(wǎng)封禁并預(yù)警；被控終端異常橫向排查。

②日常安全意識防范——“人防”

不輕信：對各種社交平臺上的“補(bǔ)貼”“通知”等敏感主題文件或鏈接不輕信；

不點(diǎn)擊：拒絕打開來源不明的鏈接、二維碼、壓縮包等；

不下載：避免安裝非官方途徑的軟件；

勤關(guān)機(jī)：離崗必關(guān)機(jī)；

勤殺毒：保持定期更新病毒庫、掃描殺毒。

③感染應(yīng)急處理流程

一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉，微信、QQ或其他社交媒體軟件被盜等現(xiàn)象，應(yīng)向親友和所在單位同事和負(fù)責(zé)人告知相關(guān)情況，并通過相對安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼、對自己常用的計(jì)算機(jī)和移動通信設(shè)備進(jìn)行殺毒和安全檢查。如反復(fù)出現(xiàn)賬號被盜情況，應(yīng)在備份重要數(shù)據(jù)的前提下，考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。

來源：中建六局四建公司微信公眾號

長按識別加南陽家長群：