銀狐情報共享｜ Att&amp;CK視角下的最新活躍技戰(zhàn)術(shù)分享

來源：今日熱點網(wǎng) 2025-07-15 17:07:57

前言

近年來，銀狐針對國內(nèi)企業(yè)數(shù)據(jù)資產(chǎn)及個人終端的定向攻擊頻發(fā)。通過進行敏感信息竊取，控制系統(tǒng)操作聊天應(yīng)用以社工工程學(xué)為核心開展金融詐騙活動，已成為當(dāng)前嚴(yán)重威脅企業(yè)/個人安全的攻擊團伙之一。

騰訊安全作為國內(nèi)兼具云管端安全產(chǎn)品與威脅情報能力的綜合性安全廠商，同時深度協(xié)同騰訊生態(tài)產(chǎn)品打擊銀狐釣魚攻擊，具備核心威脅感知優(yōu)勢。目前騰訊安全在銀狐基礎(chǔ)IOC檢測、行為TTPs防護、駐留項和防御規(guī)避技術(shù)檢測及清理等方面積累大量獨家方案，經(jīng)個人與企業(yè)客戶場景充分驗證有效。為聯(lián)合更多安全廠商和企業(yè)安全部門打擊銀狐釣魚攻擊，我們將持續(xù)分享銀狐團伙的最新情報和攻防技術(shù)方案，共同護航產(chǎn)業(yè)互聯(lián)網(wǎng)安全。

本文我們將通過公開近期銀狐攻擊過程中活躍技戰(zhàn)術(shù)TTPs（戰(zhàn)術(shù)、技術(shù)、步驟），總結(jié)特點供業(yè)界參考。

銀狐攻擊過程技戰(zhàn)術(shù)使用豐富（attck矩陣黃色標(biāo)記），本文我們著重對其活躍使用且對抗激烈的技戰(zhàn)術(shù)（attck矩陣紅色）其進行總結(jié)。其中某技戰(zhàn)術(shù)手法首次對外披露（使用文件關(guān)聯(lián)+設(shè)備映射+PendingFileRenameOperations機制實現(xiàn)繞過安全軟件無痕啟動）。同時，我們也發(fā)現(xiàn)銀狐開始結(jié)合Rootkit來進一步做更深層的系統(tǒng)潛伏和對抗檢測，我們將在之后系列文章中再次同業(yè)界分享。

01 銀狐特性總結(jié)

傳播方式多樣

以釣魚攻擊、水坑攻擊、第三方軟件捆綁傳播為主。通過社交工程郵件、即時通訊工具充分利用社會工程學(xué)、時事熱點（*名單、*吃瓜、*稅務(wù)、*票據(jù)等）投遞惡意文件。通過仿冒合法網(wǎng)站（有道、酷狗、向日葵、Telegram、Google、DeepSeek等）植入惡意軟件，定向誘導(dǎo)工具需求人群下載。

攻擊目標(biāo)精準(zhǔn)

針對財務(wù)、稅務(wù)、人事、運維等企業(yè)關(guān)鍵核心人員展開定向攻擊，竊取核心機密權(quán)限，長期控制主機伺機開展金融詐騙活動。

技術(shù)手段復(fù)雜

● 白利用：使用合法帶數(shù)字簽名的程序進行白利用（傳統(tǒng)DLL劫持、.net appdomain劫持、trueupdate解釋工具等），加載執(zhí)行惡意模塊代碼；或直接將具備遠控功能的軟件C2武器化。

● 內(nèi)存注入：將惡意代碼通過各類技術(shù)手段（遠線程、Apc、Context、PoolParty等）注入合法進程（explorer.exe、lsass.exe、wusa.exe、tracerpt.exe、regsvr32.exe、dllhost.exe等）的內(nèi)存空間中運行，隱藏自身惡意代碼。

● 載荷隱寫：將惡意代碼隱藏于非可執(zhí)行文件（如圖文、視頻、文檔）或注冊表中，通過特定解析邏輯提取并執(zhí)行。

● 安全對抗激烈：通過技術(shù)手段（BYOVD、系統(tǒng)防火墻、網(wǎng)絡(luò)策略、WDAC策略、安全軟件VT兼容考慮、安全軟件進程打開權(quán)限管控兼容考慮）關(guān)閉或干擾安全防護軟件正常運行，修改系統(tǒng)配置使其無法檢測惡意行為。

● 持久化創(chuàng)新：除通過啟動目錄、注冊表Run、服務(wù)、計劃任務(wù)等方式持久化外，還通過UserInitMprLogonScript跟隨系統(tǒng)啟動。同時為了進一步繞過安全軟件檢測，創(chuàng)新式將啟動目錄進行劫持，使用文件關(guān)聯(lián)+虛擬設(shè)備映射+PendingFileRenameOperations機制實現(xiàn)繞過安全軟件無痕啟動，極具創(chuàng)新性。

版本迭代快速

通過樣本增肥躲避云查殺，繞過部分安全軟件快速檢測機制。每日生成大量新變種，通過注冊大量云設(shè)施，頻繁更新C2信息以躲避安全廠商圍剿。

02 初始訪問（Initial Access：TA0001）

水坑攻擊（Drive-by Compromise：T1189）

銀狐主要使用MSI、EXE兩種類型偽裝常見的安裝包應(yīng)用，通過仿冒工具站SEO后，誘導(dǎo)受害者下載執(zhí)行。常見偽類應(yīng)用包括PDF工具、WPS、酷狗、向日葵、瀏覽器、飛書等。同時銀狐也通過仿冒特定應(yīng)用人群使用應(yīng)用（虛擬幣、TG、VPN等軟件）進行精準(zhǔn)投放，用于定向竊取虛擬幣等資產(chǎn)。

釣魚攻擊（Phishing：T1566）

銀狐擅長使用熱點類新聞開展釣魚，通過具有誘惑性（吃瓜、稅務(wù)、薪酬、票據(jù)等）的釣魚正文內(nèi)容，誘導(dǎo)被害者下載點擊（msi、exe、chm、vbs、bat）等惡意附件。

03 誘導(dǎo)執(zhí)行（Execution：TA0002）

用戶執(zhí)行（User Execution：T1204）

整理銀狐常見類偽裝惡意載荷名如下。一旦受害者主動點擊惡意附件，銀狐后門則會在系統(tǒng)內(nèi)開展進一步隱蔽對抗，持久化駐留。隨后銀狐攻擊團伙對被害者主機展開持久控制，伺機實施金融竊密/詐騙過程。

04 防御規(guī)避（Defense Evasion：TA0005）

白利用

傳統(tǒng)軟件DLL劫持白利用（Hijack Execution Flow：T1574）

騰訊混元大模型技術(shù)點解釋：

Windows系統(tǒng)加載程序時，需要調(diào)用動態(tài)鏈接庫DLL（相當(dāng)于程序的“工具包”）。但系統(tǒng)有個“弱點”，加載DLL時，會按固定順序搜索目錄，優(yōu)先從程序自己的文件夾找（比如你安裝的QQ目錄），找不到再去系統(tǒng)目錄（比如C:\Windows\System32）。

攻擊者就鉆這個空子：偽造一個和系統(tǒng)DLL同名/或應(yīng)用程序自身需要的“假DLL”（比如lpk.dll、ws2_32.dll），放到程序的文件夾里。當(dāng)程序運行時，系統(tǒng)會先加載這個“假DLL”，而“假DLL”里藏著木馬的代碼——程序以為自己在用系統(tǒng)工具，實際上被木馬控制了。

例如下圖利用迅雷白模塊，通過合法簽名軟件DLL劫持，執(zhí)行最終惡意載荷。裝載同目錄XLFSO.dll，XLFSO.dll進一步裝載mt.dll，最終裝載同目錄內(nèi)非PE文件mi.jpg。查看mi.jpg可知文件頭為一段shellcode，進一步執(zhí)行其內(nèi)部Embedded PE后門。

主程序具有合法簽名

經(jīng)過DLL雙層劫持后裝載外部非PE圖片mi.jpg文件

mi.jpg圖片文件本質(zhì)為shellcode裝載器+Embedded PE的惡意后門

后門最終外聯(lián)C2地址：12-18.qq-weixin.org。通過該域名不難看出，銀狐為了躲避安全廠商圍剿，進一步隱蔽其c2通信過程，使用到的惡意c2資產(chǎn)仿冒了國內(nèi)知名軟件域名。正常情況下，普通人很難發(fā)現(xiàn)該域名下的異常流量通信行為。

NET白文件AppDomainManager劫持（Hijack Execution Flow：T1574）

騰訊混元大模型技術(shù)點解釋：

.NET程序運行時，會通過AppDomainManager（應(yīng)用程序域管理器）來創(chuàng)建和管理“應(yīng)用程序域”（隔離代碼執(zhí)行的沙盒）。攻擊者通過篡改這個“管理者”，可以讓它在創(chuàng)建域時執(zhí)行惡意邏輯。攻擊者可通過修改.NET程序的配置文件或環(huán)境變量，讓程序加載自定義的AppDomainManager程序集（負(fù)責(zé)管理.NET應(yīng)用程序域），從而在程序啟動時執(zhí)行惡意代碼。

如下案例，銀狐利用Microsoft WSE（UevAppMonitor.exe）的白程序，配置其程序同目錄下同模塊名的config文件，配置中appDomainManagerAssembley字段。

當(dāng)該程序執(zhí)行時，WSE程序進一步嘗試加載目錄下配置的ureboot.Commands.exe程序集，ureboot.Commands.exe惡意程序集模塊最終使用0xEE進行動態(tài)解密外部n180yhty.mdb文件，對其進行裝載后，執(zhí)行后門遠控外聯(lián)C2；同時惡意代碼還具備惡意代碼注入系統(tǒng)進程內(nèi)實現(xiàn)進程守護的功能。

攻擊者篡改后的appDomainManager劫持信息，白利用文件為Microsoft WSE白程序

ureboot.Commands.exe程序集使用0xEE作為key解密惡意代碼后進行二階段惡意載荷裝載

同時最終后門通過將核心注入系統(tǒng)白進程（tracerpt.exe）實現(xiàn)進一步隱蔽自身目的

最終外聯(lián)C2：156.152.19.180，該資產(chǎn)來自境外，使用該類型資產(chǎn)可進一步增加其團隊溯源難度。

TrueUpdate白利用（System Binary Proxy Execution：T1218）

騰訊混元大模型技術(shù)點解釋：

TrueUpdate是IndigoRose公司開發(fā)的打包安裝工具，支持通過Lua腳本自定義安裝邏輯（如文件釋放、注冊表修改、網(wǎng)絡(luò)請求等）。木馬（如“銀狐木馬”）利用其打包隱蔽性、腳本自定義能力及密碼保護機制，實現(xiàn)對系統(tǒng)的隱蔽滲透與持久控制。

如下圖，銀狐木馬利用TrueUpdate加載外部lua腳本dat文件，進一步裝載外部jpg，xml非PE中的惡意后門載荷。由于整個惡意代碼加載過程涉及白文件+非PE文件。檢測能力弱的安全軟件將無法檢測到過程中的惡意代碼。

合法軟件白利用武器化（Remote Access Tools：T1219）

騰訊混元大模型技術(shù)點解釋：

合法遠程軟件（比如TeamViewer/edr或上網(wǎng)管理類軟件）本身有強大的遠程控制功能：能跨網(wǎng)絡(luò)連接、傳輸文件、甚至控制鍵盤鼠標(biāo)。木馬直接自己寫一套遠程控制功能很麻煩，不如“偷懶”——直接利用現(xiàn)成的合法軟件，既能繞過系統(tǒng)限制（比如防火墻可能默認(rèn)允許這些軟件聯(lián)網(wǎng)），又能偽裝成正常操作（用戶看到是熟悉的軟件界面，不容易懷疑）。

簡單說，就是木馬把原本用來遠程控制的合法軟件改造成“木馬工具”，讓它變成黑客的“遙控器”，偷偷控制別人的電腦。

使用IPGUARD，固信管理。由于該系列軟件具備合法的遠程控制功能，且具備驅(qū)動級權(quán)限，銀狐團伙積極將其武器化使用。

如下圖所示，偽裝稅務(wù)app的程序運行后，會安裝名為pobus64的某終端EDR管控產(chǎn)品，由于該軟件具備遠程管理功能，攻擊者將其武器化做C2工具使用。

安全對抗

銀狐執(zhí)行時，為了實現(xiàn)在安全軟件監(jiān)控下持續(xù)運行，會嘗試使用多種方式對抗安全軟件。包括斷網(wǎng)/防火墻策略部署繞過安全軟件云策略監(jiān)控；安裝VT功能軟件利用兼容性繞安全軟件主動防御；利用安全軟件兼容考慮注入LSASS進程對抗安全進程；通過BYOVD利用獲取內(nèi)核權(quán)限深度對抗；利用WDAC策略禁用安全軟件等。目標(biāo)直接結(jié)束掉安全軟件或者屏蔽掉安全軟件的部分能力，達到長期控制主機下不被查殺。

BYOVD（Exploitation for Privilege Escalation：T1068）

騰訊混元大模型技術(shù)點解釋：

BYOVD（Bring Your Own Vulnerable Driver，自帶漏洞驅(qū)動）是一種內(nèi)核級攻擊技術(shù)，核心邏輯是：攻擊者利用系統(tǒng)中已存在的、帶漏洞的合法驅(qū)動程序（比如系統(tǒng)自帶或知名軟件附帶的驅(qū)動），通過漏洞獲取內(nèi)核權(quán)限，繞過用戶態(tài)安全軟件的防御，直接在內(nèi)核層面執(zhí)行惡意操作（如關(guān)閉殺毒軟件、竊取數(shù)據(jù)）。

一些公開熱門的BYOVD開源利用項目：

https://github.com/BlackSnufkin/BYOVD

https://github.com/ZeroMemoryEx/Blackout

https://github.com/Helixo32/NimBlackout

https://github.com/Hagrid29/BYOVDKit

https://github.com/BlackSnufkin/GhostDriver

如下圖銀狐在系統(tǒng)內(nèi)安裝存在漏洞的wsftprm.sys的白驅(qū)動程序，由于該內(nèi)核文件存在漏洞，加載后可通過在應(yīng)用層發(fā)送相關(guān)IOCTL實現(xiàn)結(jié)束任意受內(nèi)核程序保護的軟件（例如安全軟件）進程。銀狐團伙將此類型內(nèi)核模塊插件化使用，可有效獲取內(nèi)核權(quán)限，將對抗戰(zhàn)場進一步從應(yīng)用層牽引到了內(nèi)核態(tài)。

網(wǎng)絡(luò)策略對抗（Impair Defenses：T1562）

騰訊混元大模型技術(shù)點解釋：

木馬的核心目標(biāo)是長期潛伏、不被發(fā)現(xiàn)、完成黑客任務(wù)。斷開/限制網(wǎng)絡(luò)能減少“被追蹤”和“被攔截”的風(fēng)險；限制安全軟件流量則讓防御工具“變瞎變啞”，無法有效反擊。兩者結(jié)合，木馬就能更隱蔽地控制電腦，實現(xiàn)竊取數(shù)據(jù)、破壞系統(tǒng)等目的。

如下圖銀狐使用netsh設(shè)置錯誤的本地IP連接靜態(tài)地址策略，從而導(dǎo)致網(wǎng)絡(luò)暫時中斷，實現(xiàn)屏蔽安全軟件云端檢測/防護策略執(zhí)行后續(xù)惡意行為。

WDAC策略濫用（Impair Defenses：T1562）

騰訊混元大模型技術(shù)點解釋：

WDAC（Windows Defender Application Control，Windows Defender應(yīng)用程序控制）是微軟推出的一項系統(tǒng)安全功能，核心作用是控制哪些程序能在電腦上運行。它通過“白名單”機制，只允許明確受信任的程序（如系統(tǒng)自帶工具、企業(yè)認(rèn)證軟件）執(zhí)行，阻止未知或惡意軟件運行，常用于企業(yè)環(huán)境保障系統(tǒng)安全。

木馬利用WDAC策略對抗安全軟件，本質(zhì)是“借刀殺人”——用系統(tǒng)自帶的安全功能，反過來限制安全軟件的運行。它通過篡改“允許運行的程序清單”，讓安全軟件成為“被禁止的對象”，而木馬自己則被加入“白名單”，從而實現(xiàn)長期潛伏、不受監(jiān)控的攻擊目標(biāo)。

如下圖，銀狐木馬釋放名為SIPolicy.p7b的WDAC策略配置bin文件。對其進行解碼后查看其內(nèi)容可知，其中配置了安全軟件相關(guān)進程/模塊/目錄下的拒絕策略，攻擊者意圖使用系統(tǒng)WDAC策略禁止安全軟件啟動，從而躲避查殺。

Windows Defender策略濫用（Impair Defenses：T1562）

騰訊混元大模型技術(shù)點解釋：

Windows Defender會定期掃描系統(tǒng)文件，如果發(fā)現(xiàn)病毒（惡意程序），會隔離或刪除它。病毒為了存活，必須讓Defender“跳過”自己的位置——這就需要用到PowerShell的Add-MpPreference -ExclusionPath命令（或類似的Set-MpPreference命令）。這個命令的作用是：告訴Defender“這個路徑里的文件不用掃描”。

如下圖，銀狐使用powershell.exe Set-MpPreference -ExclusionPath "C:\", "D:\", "E:\", ..., "Z:\"將所有目錄添加到排除目錄，進而在Windows Defender掃描時對其自身惡意文件模塊進行白名單放行。

VT程序濫用（Impair Defenses：T1562）

騰訊混元大模型技術(shù)點解釋：

Intel VT（Intel Virtualization Technology）是CPU級硬件輔助虛擬化技術(shù)，ntel VT通過VMX模式隔離、VMCS控制、EPT內(nèi)存虛擬化等核心技術(shù)，為終端安全軟件提供了硬件級的安全隔離與性能保障。其核心優(yōu)勢在于其全維度監(jiān)控：覆蓋API調(diào)用、進程行為、內(nèi)存操作等多個層面。

部分安全軟件使用VT（Intel Virtualization Technology，英特爾虛擬化技術(shù)）實現(xiàn)更底層的系統(tǒng)安全行為監(jiān)控。該功能屬于CPU級別的硬件輔助虛擬化技術(shù)，比操作系統(tǒng)內(nèi)核態(tài)Ring 0更底層，屬于Ring -1層，兼容性問題更加復(fù)雜。銀狐充分挖掘安全軟件兼容考慮下的臨時退出場景。如下圖，銀狐利用WEGAME反作弊系統(tǒng)使用VT虛擬化時，部分安全軟件對WEGAME兼容考慮下的退出場景，從而繞過其主動防御策略。

增肥/混淆（Obfuscated Files or Information：T1027）

騰訊混元大模型技術(shù)點解釋：

木馬要繞過安全軟件的“圍追堵截”，除了隱藏自身代碼、偽裝成正常文件，還會用“體積增肥”的手段——把自己的文件體積變得異常大（比如從幾KB漲到幾百MB），讓安全軟件“看不上”或“認(rèn)不出”，從而順利進入電腦潛伏。

銀狐木馬母體可達上百MB，同時也會將一些關(guān)鍵的惡意模塊進行單獨的增肥，意圖使用該方式來規(guī)避安全軟件云查殺，躲避部分安全軟件快速查殺策略。同時，銀狐也使用各種代碼加殼，混淆手法進一步隱藏特征。

注冊表/圖片隱寫（Obfuscated Files or Information：T1027 ）

騰訊混元大模型技術(shù)點解釋：

隱寫術(shù)是木馬的“隱形外套”，它將惡意代碼（如木馬程序、控制指令）隱藏在注冊表內(nèi)，或圖片文件（如PNG、JPG）的“像素縫隙”或“文件結(jié)構(gòu)”中，讓安全軟件誤以為這是“正常圖片”，從而跳過掃描。

如下圖，銀狐將惡意C2載荷填充到注冊表特定位置，使用外部Loader在啟動時將其從注冊表內(nèi)讀取后進一步裝載，使用該方式可有效避免安全軟件對其核心惡意功能代碼的檢測。

05 持久化（TA0003）

自啟動位置（Scheduled Task/Job：T1053，Modify Registry：T1112，Create or Modify System Process：T1543）

騰訊混元大模型技術(shù)點解釋：

服務(wù)（Services）：隨系統(tǒng)啟動的“隱形守護者”

啟動目錄（Startup Folder）：用戶登錄的“自動觸發(fā)器”

注冊表啟動項（Registry Run Keys）：系統(tǒng)級的“隱身開關(guān)”

計劃任務(wù)（Scheduled Tasks）：定時/事件的“精準(zhǔn)開關(guān)”

這四種方式均為Windows合法功能，木馬通過“偽裝”成正常組件（如服務(wù)、啟動程序、定時任務(wù)、注冊表配置），繞過用戶和安全軟件的常規(guī)檢測。更關(guān)鍵的是，多重機制疊加（如服務(wù)+注冊表+計劃任務(wù)）形成“復(fù)活鏈”——即使其中一個被清除，其他機制仍能重新激活木馬，實現(xiàn)“野火燒不盡”的持久化控制。

銀狐持久化形式多樣，充分利用注冊表、服務(wù)、啟動目錄、計劃任務(wù)等。除此外，也看到對于計劃任務(wù)等啟動路徑上，銀狐也常使用一些字符憑借/混淆手法，意圖躲避一些終端查殺匹配策略?？偨Y(jié)銀狐主要使用以下幾種方式來混淆路徑，干擾查殺。

● 引號包圍單個字符檢測(如"c"h"r"m"s"t"p")；

● 引號包圍路徑分隔符檢測(如"\"r")；

● 空格引號干擾路徑解析檢測。

如下圖文件名使用引號進行拼接：

可排查以下相關(guān)位置確認(rèn)是否存在異常啟動項：

UserInitMprLogonScript（Boot or Logon Initialization Scripts： T1037.001）

騰訊混元大模型技術(shù)點解釋：

UserInitMprLogonScript 是 Windows 注冊表中的一個用戶級鍵值（路徑：HKEY_CURRENT_USER\Environment），它的作用是：當(dāng)用戶登錄系統(tǒng)時，自動執(zhí)行該鍵對應(yīng)的程序或腳本。

簡單說，它就像一個“登錄觸發(fā)器”——你每次輸入密碼登錄電腦，系統(tǒng)都會檢查這個鍵，如果里面有路徑，就會自動運行里面的程序。

如下圖，銀狐寫入UserInitMprLogonScript內(nèi)惡意載荷實現(xiàn)持久化執(zhí)行：

篡改啟動目錄（Boot or Logon Autostart Execution ： T1547）

騰訊混元大模型技術(shù)點解釋：

攻擊者通過篡改系統(tǒng)內(nèi)注冊表Shell Folders\Startup的根本目的，是讓系統(tǒng)“誤以為”惡意文件夾是合法的啟動目錄。系統(tǒng)啟動時，會按照注冊表的指示，去惡意文件夾里找程序運行，而不會懷疑這個文件夾的“真實性”。

這種劫持方式的隱蔽性和危害性都很強，因為它利用了Windows系統(tǒng)的“信任機制”，繞過了安全軟件的常規(guī)檢測。

如下圖，攻擊者劫持啟動目錄到惡意銀狐載荷位置內(nèi)實現(xiàn)隱蔽執(zhí)行。

文件關(guān)聯(lián)+虛擬設(shè)備映射+PendingFileRenameOperations機制無痕啟動（Event Triggered Execution：T1546，Modify Registry：T1112 ，Boot or Logon Autostart Execution：T1547）

騰訊混元大模型技術(shù)點解釋：

Windows文件關(guān)聯(lián)：

Windows中注冊表HKEY_CLASSES_ROOT\[文件擴展名]\shell\open\command很關(guān)鍵，系統(tǒng)用注冊表路徑來記錄“文件類型→程序”的對應(yīng)關(guān)系，用于在打開指定類型文件時，調(diào)用對應(yīng)的程序。

Windows新增磁盤設(shè)備：

Windows中注冊表DosDevices項是Windows系統(tǒng)的“盤符字典”，記錄了“盤符名字”和“存儲路徑”的對應(yīng)關(guān)系。通過修改這個字典里的“名字”（比如把F:改成G:），系統(tǒng)就會給對應(yīng)的存儲設(shè)備分配新的盤符，實現(xiàn)“新增盤符”的效果。

Windows-PendingFileRenameOperations作用：

PendingFileRenameOperations是Windows系統(tǒng)的“文件操作待辦清單”，專門記錄暫時無法完成的文件重命名/刪除任務(wù)，等下次開機時自動執(zhí)行。它的存在解決了“文件被占用時無法操作”的問題。主要包括以下常見場景：

● 軟件安裝/卸載：安裝程序需要刪除舊版本文件，但舊文件被系統(tǒng)進程占用，就會寫入PendingFileRenameOperations，等重啟后刪除。

● 系統(tǒng)更新：Windows更新時需要替換系統(tǒng)文件，但文件正在被使用，就會記錄到PendingFileRenameOperations，重啟后完成替換。

● 臨時文件清理：系統(tǒng)或程序生成的臨時文件，需要刪除但被占用，也會通過PendingFileRenameOperations延遲處理。

Windows-PendingFileRenameOperations操作時機：

PendingFileRenameOperations的操作時機早于驅(qū)動加載，其執(zhí)行發(fā)生在會話管理器（smss.exe）啟動后、驅(qū)動加載前，是Windows系統(tǒng)啟動流程中前置的文件操作步驟，確保驅(qū)動加載時文件系統(tǒng)的完整性。

我們首次披露銀狐使用的一些獨特的持久化手法，通過創(chuàng)建虛擬設(shè)備，將StartUp目錄上層目錄映射到新的設(shè)備盤位置，同時充分結(jié)合文件關(guān)聯(lián)以及PendingFileRenameOperations機制實現(xiàn)隱蔽無痕啟動。銀狐充分利用相關(guān)系統(tǒng)特性，組合實現(xiàn)了一套自創(chuàng)的無痕持久化過程，以實現(xiàn)繞過安全軟件監(jiān)控隱蔽持久化執(zhí)行，詳細過程如下：

如下圖，銀狐寫入公共下載目錄下一個隨機后綴的WOFLD文件+后門exe程序，正常情況下系統(tǒng)重啟后木馬無法再次執(zhí)行。

銀狐創(chuàng)建.wofld隨機文件后綴的關(guān)聯(lián)啟動，當(dāng)有.wofld文件執(zhí)行時，會關(guān)聯(lián)使用后門exe打開?？梢钥吹皆撐恢糜捎趯懭氲氖请S機類型后綴的打開關(guān)聯(lián)，并非篡改敏感類EXE、DLL、LNK可執(zhí)行類程序關(guān)聯(lián)。所以部分安全軟件出于用戶體驗考慮，對該處弱風(fēng)險行為并不會攔截，此時木馬無法實現(xiàn)重啟持久化。

銀狐創(chuàng)建虛擬設(shè)備O盤，將其映射到系統(tǒng)StartUp啟動目錄的上層，此時木馬依舊無法完成持久化啟動，由于僅僅是創(chuàng)建了一個Programs目錄的映射操作，該動作并不敏感，該弱風(fēng)險行為安全軟件通常會放行。

銀狐最終利用PendingFileRenameOperations機制，實現(xiàn)在開機啟動時將隨后wofld類型后綴文件寫入O盤下Startup目錄內(nèi)。可以看到，此處寫入啟動路徑位置為O:\Satrtup下，由于該路徑并不敏感，所以雖然部分安全軟件監(jiān)控了PendingFileRenameOperations操作，但依舊會對其放行。

由于O盤下Startup此時正好被映射到系統(tǒng)盤啟動目錄，隨機類型文件在開機時被寫入啟動目錄，隨機類型文件有機會得到執(zhí)行。又由于隨機后綴文件的打開被關(guān)聯(lián)到下載目錄內(nèi)的木馬EXE程序，故系統(tǒng)拉起執(zhí)行了惡意后門。

由于是在開機過程完成的O盤映射目錄文件寫入，且該操作由Windows會話管理器（smss.exe）完成。該模塊啟動時間早于安全軟件驅(qū)動加載。最終繞過了部分終端安全軟件嚴(yán)防死守的啟動目錄監(jiān)控。同時木馬啟動成功后，會再次刪掉啟動目錄內(nèi)已存在的隨機后綴啟動文件，從而導(dǎo)致整個啟動過程在事后完全無感知。

分析整個過程，銀狐利用系統(tǒng)內(nèi)3處與啟動項無關(guān)的弱風(fēng)險篡改操作，繞過安全軟件檢測/阻斷過程，最終組合實現(xiàn)了一個超級隱蔽，且穩(wěn)定的無痕持久化方式。

06 影響（TA0040）

銀狐團伙以高度定向性、技術(shù)復(fù)雜性和社會工程欺騙性為核心，借助其不斷演進的對抗性技術(shù)組合（安全對抗、內(nèi)存駐留、持久化創(chuàng)新、隱蔽性增強、利用合法服務(wù)通信）及多維度誘騙策略（如熱點時事釣魚、熱門應(yīng)用偽裝），已經(jīng)構(gòu)建起“傳播-滲透-控制-竊取-詐騙”的完整攻擊鏈路。

當(dāng)銀狐木馬成功植入系統(tǒng)，攻擊者則進一步嘗試控制主機。通過遠程控制主機桌面，進一步嘗試竊密，操作主機開展詐騙等行為，被攻擊主機可能出現(xiàn)以下系統(tǒng)異常行為。

● 社交軟件大量發(fā)送虛假詐騙消息。