1、银狐木马年度报告2025SILVER FOX TROJANANNUAL REPORT 2025360安全能力中心反病毒部2025年12月目录CONTENTS第一章 银狐木马概况(一)木马查杀(二)新增变种一、目标人群及攻击范围变化二、获利方式调整三、查杀趋势变化四、攻击地域与时间(一)地域分布(二)时段分布003004005005006007008009P001第二章 银狐木马的技术演进一、传播方式 (一)IM传播类(二)网站传播类(三)邮件传播类(四)漏洞传播类(五)企业横向传播二、木马潜伏三、攻防对抗技术(一)常规免杀手法(二)利用系统特性(三)防护产品弱点利用(四)第三方组件利用四、驻留

2、技术(一)无文件与LOLBAS驻留(二)利用合法软件进行驻留，打造“永久免杀”后门(三)使用各类系统自启动项驻留(四)通过注入ShellCode驻留运行(五)通过软件劫持驻留运行P011012012017019020020022022022024028030031031032032034034一、威胁预防 (一)识别钓鱼(二)识别群消息二、排查与现场处置三、中招设备排查与木马应急阻断(一)环境排查(二)进程与文件排查(三)驻留排查(四)通信类排查(五)排查原则与应急阻断四、攻击溯源采样五、银狐木马清理(一)常规清理(二)顽固木马清理(三)再次检查(四)安全加固措施第三章 银狐木马应对方案P05

3、0五、远控木马与远程控制(一)自制远控(二)利用合法远程工具(三)购买商业远控(四)使用企业管理软件六、获利途径 (一)转账诈骗(二)扫码电诈(三)窃取虚拟货币数字资产(四)投递勒索软件七、制作团伙035035037038039040040042044046047051051052052053053057061063065067069069070070071第一章银狐木马概况P001P010“银狐木马”，又名“游蛇”或“谷堕大盗”等，该名称因为被广泛使用，现已不再指代某一特定家族木马，而是逐渐变为对一类木马程序的通称。其主要是依托钓鱼攻击进行传播的一类远程控制类木马，攻击目标以政企单位用户为主

4、。目前，银狐木马已成为国内最为活跃的木马家族。根据360安全智能体监测分析发现，该木马家族背后的制作及免杀团伙有超过20个，并且还不断有新的木马团伙加入。过去一年，对国内政企单位发起了数万起攻击，给企业正常经营与生产安全造成了极大的影响。银狐木马概况2 0 2 5 银 狐 木 马 年 度 报 告第一章 银狐木马概况P0022 0 2 5 银 狐 木 马 年 度 报 告P003第一章 银狐木马概况一目标人群及攻击范围变化目前，“银狐”类木马的传播方式主要集中在三类渠道：即时通讯工具（如：钉钉、微信等）、仿冒网站以及钓鱼邮件。其中，今年通过邮件传播的比例明显下降，而利用聊天工具传播的比例有较明显上

5、升。企业员工中招的初始因素，多为在钓鱼网站下载了银狐木马，尤其是一些“代理”软件，被银狐木马大量利用。而在企业内大肆扩散更多是通过聊天群进行传播。在攻击目标方面，以往银狐木马更偏向“精准打击”，多针对财务人员、企业管理人员等关键岗位，通过长时间伪装和反复沟通实施诈骗。但今年的情况有所变化，攻击者更倾向于“广撒网”，对受害者身份不再特别挑选。只要感染到一台设备，木马会收集其中的用户信息，并利用受害者已登录的微信等聊天工具继续向联系人发送恶意文件，借此进一步扩散，并可能用来实施诈骗。59%银狐木马传播分布钓鱼传播15%其它25%邮件传播 1%通讯软件传播二获利方式调整在过去，银狐木马案件经常与大型

6、诈骗案件关联，精准化攻击特征显著。往往针对企业财务人员或公司高层发起攻击，动辄造成数十万甚至上百万元的损失。这类案件往往与电信诈骗、公司对公转账操作深度绑定，攻击链条长、准备充分、手法复杂。攻击者通过各类技术手段或直接窃取管理层社交、办公账号，误导财务人员执行大额对公转账。而今年的情况出现了较为明显的变化。银狐木马更偏向于“广撒网”式的小额诈骗模式，获利规模随感染量同步扩大。攻击者常常紧扣“企业所得税汇算清缴”“清明节放假通知”等周期性工作，或以“领取补贴”“系统退款”“平台违规处理”等名义通过微信/企业微信等社交平台群发消息。也可能通过搜索引擎优化提升钓鱼网页曝光度，引导用户输入电子账户信息