在数字化办公时代,危险往往披着最无害的外衣。一封标题为“发票已生成”的邮件,一个名为“明细查询”的压缩包,看似寻常,背后却可能藏着精心设计的陷阱。近期,瑞星威胁情报平台捕获的“银狐木马”(又名“毒鼠、谷堕”)新一轮攻击活动,撕开了现代网络钓鱼攻击的伪装,让我们看到了这场攻防战背后的技术细节与残酷真相。
一、伪装的艺术:合法签名下的“特洛伊”
过去的网络钓鱼,常因域名粗糙、页面简陋而被识破。但现在的攻击者,更懂得利用用户的信任感和技术盲区。
在某金融机构遭遇的攻击中,黑客发送的钓鱼邮件域名被精心伪装,链接甚至采用了“hxxps://mailto:baidu.com@xxxxx.cn”这种格式。该手法利用浏览器解析规则,让用户误以为链接指向百度,实则跳转至恶意站点。用户点击下载的“票单.zip”,并非真正的发票,而是通往深渊的入口。
这里用到了网络安全领域臭名昭著的“白加黑”技术。压缩包内的主程序,竟然拥有德国安博士(Avira)等知名厂商的合法数字签名。在Windows系统中,拥有合法签名的文件通常会被操作系统和杀毒软件视为“可信”,从而予以放行。黑客正是利用了这一点,在合法程序中暗藏了恶意的DLL(动态链接库)文件。
当用户运行这个“正规”程序时,它会优先加载同目录下的恶意DLL。这就好比一个持有真身份证的间谍,大摇大摆地走进大楼,然后在内部进行破坏。这种方式不仅绕过了安全检测,还直接获取了系统管理员权限,为后续下载核心木马模块铺平了道路。
二、技术的博弈:硬件指纹与碎片化隐藏
如果说“白加黑”是伪装术,那么“银狐木马”在即时通讯工具传播分支中使用的技术,则显得更为阴险。
攻击者通过微信、钉钉等工具发送“明细查询.zip”。解压后,界面显示的是常见的“微软电脑管家”,极具迷惑性。但这实则是被篡改的恶意程序,其核心在于“硬件绑定”加密术。
恶意程序在运行前,会读取受害计算机的硬盘序列号和主板信息,生成一个唯一的32字节密钥。只有当运行环境与黑客预设的目标设备完全匹配时,恶意代码才会被激活。这一招极其狠辣:它实现了精准定点打击,避免了在安全人员的沙箱或分析环境中被触发。即便文件被意外转发给其他人,因为硬件信息不匹配,病毒也不会发作。这不仅降低了被大规模杀毒软件特征库收录的风险,也极大增加了逆向分析的难度。
此外,“银狐木马”还采用了“碎片攻击”策略。它将自身拆解为多个.dat数据文件,分散隐藏在系统深处,比如回收站目录(m $ RECYCLE.BIN)。平时这些文件互不关联,看起来像是普通的系统缓存垃圾。只有在执行时,通过cmd命令动态拼接重组,才能还原为完整的恶意代码。这种“化整为零、用时重组”的方式,让依赖静态特征匹配的传统杀毒软件难以发现踪迹。
三、潜伏的危机:不仅仅是窃密
“银狐木马”自2022年9月活跃至今,主要以企事业单位的管理、财务及销售人员为主,但它的危害远不止于窃取账号密码。
一旦植入成功,木马会注入系统进程,在任务管理器中“隐身”,实现长期驻留。它具备强大的监控能力:实时记录键盘输入、截取屏幕画面甚至直接读取微信、钉钉等即时通讯软件的聊天记录。
更可怕的是,黑客可以通过指令远程操控受害者的电脑,进行关机、文件删除、新病毒下载等操作。他们还能利用受害者的社交账号,向其好友发送新的钓鱼信息,形成“蠕虫式”传播链条。同时,木马具备“毁尸灭迹”功能,能清理系统日志、关闭安全防护,让入侵行为不留痕迹。对于企业而言,这意味着商业机密泄露、资金被盗风险激增,甚至整个内网面临沦陷。
四、构建防线:从“零信任”到行为分析
面对如此狡诈的攻击手段,单纯依赖某一款杀毒软件已难以招架,必须构建多层次防御体系。
首先是“零信任”原则。对于任何未知来源的邮件附件、聊天文件,尤其是涉及“发票”“明细”“通知”等敏感字眼的压缩包,务必保持警惕。不要轻信发件人地址,更要杜绝随意点击不明链接。哪怕对方是熟人,如果内容突兀,也要通过电话或其他方式进行二次确认。
其次,部署高级威胁检测系统(EDR/NDR)至关重要。传统的杀毒软件依赖特征库,难以应对“白加黑”和“碎片化”攻击。端点检测与响应(EDR)和网络检测与响应(NDR)系统能够基于行为分析监测程序的异常调用(如合法程序加载异常DLL)、异常的命令行操作(如cmd动态拼接文件)以及横向移动行为,从而在威胁发生初期进行阻断。
再者,强化终端防护与补丁管理。安装具备启发式扫描和云查杀能力的有效杀毒软件,能够拦截部分未知威胁。同时,绝大多数恶意软件利用已知漏洞传播,及时更新操作系统和常用软件(如Office、浏览器、即时通讯工具)的安全补丁,是堵塞攻击入口的关键。
最后,落实最小权限原则。在日常办公中,尽量避免使用管理员权限账户进行常规操作。限制账户权限可以有效遏制木马获取系统最高控制权的能力,从而降低损失范围。
网络钓鱼与反钓鱼的较量,是一场没有终点的技术与心理博弈。“银狐木马”案例警示我们,攻击者正在不断进化,利用合法签名、硬件指纹和碎片化技术突破传统防线。在这个充满不确定性的数字世界里,保持高度的安全意识,利用先进技术手段构建纵深防御体系,才是守护数字资产安全的唯一出路。
作者:北京瑞星信息技术股份有限公司(公共互联网反网络钓鱼工作组成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
