360披露银狐木马最新攻击链: 通过GAC劫持实现全局程序控制

近一年来，银狐木马持续处于高发状态，其攻击手法迭代速度与传播规模均呈现爆发增长，已发展成为国内最具活跃度的威胁组织之一。近期，该木马更新频率加快，并不断变换攻击技术，通过文件拼接、AutoHotkey 模拟点击、ISO 钓鱼等多种手段实施攻击。
360数字安全集团经监测发现，其最新变种开始采用GAC特性实施程序劫持，对广大政企机构安全构成严重威胁。
利用GAC隐秘通道
引发全局失控风险
该变种通常将木马伪装成“Setup-xxxx.exe”安装程序诱使用户执行，其本体实为一个加载器（Loader），会从百度智能云BOS下载名为“js19.dbd”的动态链接库（DLL）文件并调用其中的run函数。由于利用云服务商白名单机制，该恶意地址往往能绕过安全软件的网络检测，从而实现有效投递。同时，该木马在启动后，会循环检测360Tray.exe、360Safe.exe、ZhuDongFangYu等360相关程序，并尝试通过驱动终止相关安全软件运行。

银狐木马变种的典型钓鱼页面
进入实质性的功能阶段后，该木马会创建隐藏、只读属性的目录，并从远程下载DLL组件，将其安装到全局程序集缓存（即Global Assembly Cache，缩写为GAC）中，以实现持久化驻留和多程序共享。
GAC是Windows中用于存储经强名称签名的.NET程序集的特殊目录，通常用于避免版本冲突和实现程序集共享。该木马利用这一机制，可以实现对指定.NET程序的随意劫持。其劫持了诸如 System.Collections.Modle.dll 等程序集后，会通过修改注册表接管.NET应用程序域管理行为，从而对系统造成全局性影响。

木马通过GAC劫持
System.Collections.Modle.dll
完成劫持后，木马会再次从下载加密文件“109.mdb”至本地，并将其重命名为“adp.xml”；同时下载“dfsvc.exe”，重命名为“uninstall_xxxxx.exe”（xxxxx为随机字符串）。随后，木马通过修改注册表，将相关键值设置为0，以允许未标记为安全的ActiveX控件初始化和脚本执行，从而进一步降低系统安全设置。
木马随后会生成temp_1756284537.html 和temp_1756284616.mmc两个临时文件，其中，temp_1756284537.html文件会利用已关闭安全限制的ActiveX控件启动恶意程序。之后的木马功能环环相扣：首先通过MMC20.Application.1 COM组件执行temp_1756284616.mmc文件，进而触发HTML文件运行。
此后，木马会启动看似正常的.NET程序uninstall_1awRtVHM.exe。该程序会在已遭篡改的环境中，自动加载被劫持的System.Collections.Modle.dll，进而沦为傀儡进程。该进程首先通过创建计划任务实现持久驻留，之后借助MMC20 COM组件执行.mmc文件，最终触发完整木马执行链。
实现长期驻留后，木马读取并解密adp.xml文件，将其载入内存执行，并注入至系统桌面进程（explorer.exe）中，内存中的恶意代码随后会连接远程C2服务器（129.226.60.109:8081）。360安全智能体经分析发现，该代码为远控木马，具备文件操作、注册表修改和信息窃取等常见功能，还会检测向日葵远程工具的存在，并窃取其机器码与密码。

木马查找“向日葵”远控工具并获取其控制信息
360安全智能体赋能
构建银狐木马免疫体系
面对传播迅猛、变种迭出的银狐木马攻击，360依托安全智能体赋能的云安全立体防护体系，构建起涵盖传播拦截、行为监测、深度清理的全周期防御矩阵。
在木马传播的初始阶段，该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖，可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测，在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段，比如遭遇掺杂大量干扰文件的多文件攻击，抑或是面对超大文件规避检测的传统伎俩，以及针对加密压缩包和“配置型白利用”等新型攻击方式，该体系皆可依托安全智能体赋能的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，从而实现自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并持续监测其后续行为。
对于传输过程中的漏网之鱼，360主动防御系统会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等，360主动防御对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。
在终端处置环节，360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道，为深度清理争取宝贵时间窗口。此外，该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复，也支持对被银狐木马利用的IPGuard、安在管理软件、阳途管理软件等软件的智能卸载。