2024年是总体国家安全观提出的十周年，作为其重要组成部分，网络安全至关重要。当前，积极发展网络安全产业，是构建安全、稳定、繁荣的网络空间的重要依托，也是数字时代国家安全的重要战略基石。在第九个全民国家安全教育日来临之际，光明网网络安全频道、《信息安全研究》杂志社联合推出“探秘安全之‘XIN’”第四期，走进微步在线研究响应中心，带你揭秘网络安全领域的“威胁狩猎”故事。

　　探秘安全之“XIN”（四）——“微步情报局”

　　在移动互联网等信息技术为大众带来便利的同时，也暴露出不少网络安全隐患。数据显示，2023年是黑产、黑客疯狂利用技术扩大攻击范围、开展高频攻击的一年，金融、能源等涉及国计民生的行业逐渐成为勒索攻击的重点目标。

“银狐”虚拟概念图，由AI生成。

　　时间拉回到2015年。一种名为Xcode Ghost的手机病毒在全球扩散，国内很多App相继中招，累计受感染用户数亿人。此时，一个初出茅庐的创业团队——微步在线逐渐崭露头角，在安全社区里“扔”出了一份分析报告，将入侵团伙、入侵时间点、入侵方式以及一整套的关联分析与结论，讲得明明白白、鞭辟入里。也正是这份威胁情报，让当时还挤在中关村大厦里的微步在线走进大众视野。历经数年的筚路蓝缕，在2023年3月份这个团队又一次吸引了业界关注，他们捕获并揭秘了一个已经被广泛地去中心化传播的黑产工具——“银狐”。

　　发现“银狐”：一场狩猎角逐拉开帷幕

　　微步在线技术合伙人、研究响应中心负责人樊兴华：

　　网络黑产的发展几乎伴随整个互联网行业的发展。近年来，“微步情报局”通过对黑产团伙的深层次研究，包括黑产团伙画像的建立、攻击路径的梳理以及资产和样本特征的总结等，转化为检测能力，并赋能到各个安全产品当中，帮助防御及处置网络攻击。

　　2023年3月，我们捕捉到一起黑产团伙伪装成办理业务的客户，通过常见的即时通讯工具向金融、证券、教育等行业投递钓鱼木马的攻击事件，其攻击手法相对新颖，很多传统杀毒软件等无法检测出来，且整体对抗更新速度也很快，可以说是十分狡猾。基于上述原因，我们将该组织命名为“银狐”。

　　随后，我们团队就像猎人一样，针对其开展了密切的追踪和狩猎。在我们的研判下，“银狐”团伙使用的攻击手法，以及最终的攻击载荷（经过修改的Gh0st木马）为该团伙攻击的典型特征。

　　此外，在一些特定场景下，“银狐”木马可以使攻击者在另一端远程控制受害者电脑屏幕，实时阅览和编辑删除电脑桌面或相关隐私文件，操控时会觉得程序无法运行或卡顿，这种现象就是“银狐”造成的，不仅狡猾且“杀伤力”很大。虽然还没有监测到借助上述操作开展勒索事件，但“银狐”是可以做到这点的，这可能也更符合大家在文学或影视作品中了解到的“黑客人设”。

　　解密“银狐”：一个可实现稳定上线的远控马

　　微步在线安全分析师李晨：

　　“银狐”最早被发现时，是一名从事金融行业的客户经理发现自身账号被盗取，在工作社交平台或内部办公平台投递备注名称被改为“XX发票或增值税解决方案”后的恶意文件，不断向外发出信息，诱导不少客户点击。

　　经过团队对“银狐”团伙几个月的长期研究和追踪，分析师慢慢发现他们使用的木马被广泛使用在不同行业领域的目标系统上。虽然攻击方式和传播方式十分相似，但有些也存在明显差异。因为在目前所有互联网安全领域与黑客的战斗中，像这样有如此大范围与多样化攻击手段的独立团体并不多见。

　　“银狐”到底是什么？就在我们疑惑不解时，一个偶然的发现，让整个事件发生了转折。2023年7月，分析师发现了“银狐”使用木马的一个版本的源码winos，它改写自开源的Gh0st木马，其版本号为4.0，并且目前在黑产圈已存在一定范围的传播，已经更新到了最新的5.26版本。

　　我们分析了该源码，发现与很多经典的远控木马十分类似。Winos主要包括上线模块和功能模块。上线模块的功能维持后门，主要接受命令、执行功能模块；功能模块包括播放监听、查注册表、差异屏幕、代理映射、服务管理、高速屏幕、后台屏幕、极速搜索、键盘记录、揭秘数据、前台窗口、视频查看、文件管理、系统管理、娱乐屏幕、语音监听、远程交谈、远程终端、指令集和注入管理等众多手段。

　　这个时候我们终于得出结论——认定所谓的“银狐”并不是一个黑产团伙，而是一个当前在黑产圈广泛使用的、去中心化传播的黑产木马，即一个黑产工具，任何攻击者都可以获取和使用。在得出这一结论后，我们归纳了5个使用“银狐”木马的黑产团伙，并在年底将战果提升到了9个。

　　持续追踪：一场长期持久的“魔道较量”

　　微步在线技术合伙人、研究响应中心负责人樊兴华：

　　“银狐”的现实表现为利用伪造工具网站以及即时通讯工具，发送木马文件，诱骗员工点击，由此入侵企业办公网。而在我们对该团伙进行威胁狩猎的过程中，也总结出了他们常用的攻击手法——

　　他们经常会通过购买搜索引擎的竞价排名，使自己开发的捆绑了恶意组件的木马排名靠前，以及仿冒近年来流行的电子发票下载形式来进行木马传播，同时还会采取冒充他人的形式，通过即时通讯工具进行传播。在攻击成功后，他们会获得受害者终端的使用权限，操作主机上的微信将自己提前准备的小号拉入工作群，并将受害者踢出，再将小号根据受害者账号信息进行伪装，从而继续传播木马。

　　因此，对于需要维护大量客户关系的金融行业而言，“银狐”不仅造成了客户信息的泄露，甚至使得诈骗勒索的情况不时发生。

部分使用“银狐”的黑产团伙攻击方式及目标行业特点等

　　纵观整个2023年，黑产攻击尤其活跃。微步情报局先后披露了“银狐”“花斑豹”“黄雀”“山猫”等多个频繁活动的黑产工具或团伙，它们熟练使用社工技术，并与电子邮件、社交软件以及供应链投毒相结合，威胁样本具备多种绕过手法。

　　而自“银狐”被发现以来，微步情报局始终保持着对该事件的密切追踪，随着“银狐”整体的发展和演变历程，不断在行业内与客户之间更新研究进展，不仅有效帮助了我们的客户对其进行防御和处置等安全措施，更在网络安全领域情报发布等工作中取得了亮眼成绩。给这只在互联网上一度肆意妄为的“银狐”，牢牢打上了被识别的标签。

　　谨以此片献礼第九个全民国家安全教育日

　　监制：张宁　统筹：李政葳 潘静 余勇　策划：曾震宇　摄制：曾震宇、雷渺鑫　撰文：雷渺鑫　配音：吕蒙

　　光明网、《信息安全研究》联合出品

　　相关阅读：

　　聚焦炫酷网络安全实验室！光明网、信息安全研究杂志联合打造《探秘安全之“XIN”》科普特辑

　　【探秘安全之“XIN”（一）】他们是逆行者，也是溯源师！走近这群“网络安全大白”

　　【探秘安全之“XIN”（二）】八星汇聚、各显其能，这个安全矩阵不一般

　　【探秘安全之“XIN”（三）】可信计算：为计算机信息系统培育免疫能力