银狐介绍
银狐是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一,通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击,主要面向政府、高校及企事业单位等关键行业,攻击目标集中在财务和会计领域的专业人员,多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防护,远程控制受害者的计算机,窃取用户的敏感数据和财产信息,具有高度隐蔽性,对中国企事业单位和个人的信息安全构成严重威胁。
病毒特点
| 特点 | 描述/实现方式 |
|---|---|
| 隐蔽 | 银狐病毒会在主机上多个位置释放多个文件,且对文件设置权限以实现隐蔽功能。 |
| 欺骗 | 银狐病毒会对文件名进行修改,并执行白加黑等操作,伪装成wps、财务软件等用户使用频率较高的软件名,以欺骗用户进行点击。 |
| 控制 | 银狐病毒存在回连地址,运行后可与攻击者c2地址进行连接,以便于攻击者控制主机进行操作。 |
行为特征
内存写入、代码注入、进程注入、隐藏文件、修改内存数据、创建快捷方式、获取按键信息、创建可执行文件、释放文件、检测驱动、dll反射加载、创建进程、查询计算机名。
执行链如下:
排查思路
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容