文章总结： 本文讨论了搜索引擎恶意推广木马软件问题，分析了某度等搜索引擎的社会责任边界与治理困境，同时探讨了内网终端异常访问外网地址的排查方法，包括使用sysmon、wireshark等工具定位可疑进程。文章还分享了思科AI语音钓鱼攻击等安全资讯，强调了企业安全防护与应急响应的重要性。 综合评分： 86 文章分类： 漏洞分析,威胁情报,安全运营,应急响应,网络安全

---

搜索引擎恶意推广与内网渗透：企业安全防护与应急响应实践｜总第298周

原创

群秘

君哥的体历

2025年8月20日 07:31 甘肃

0x1本周话题

话题**一：最近出现多个人从某度搜索软件下载链接，某度返回的结果链接中前几个，有木马软件，某度对推荐搜索结果一点都不审查吗？

A1:这已经不奇怪了。老网民上网的一个技能就是能准确下载到官方网站的软件。目前看主要为游蛇（某狐），游蛇是金字塔型团伙作案。

上下线运行模式，在关键词优化等方面都很体系化。国内政企我们估计有至少4成，出现过至少一起终端被击穿的情况。

A2:现在是真用来偷钱的木马呀。以后内容安全，除了黄赌毒等，还要加一条木马病毒等恶意软件。

A3:各级监管频繁发通知，抓apt的机构，能把这个团伙一网打尽吗？

A4:难吧。

A5:经济层面是传销上下线模式运行的；技术能力能面是上下游分工机制的。其运行核心是一个FaaS（Fraud as a Service）机制。

A6:有资金流水，有服务器站点，有很多途径可以定位吧，有犯罪记录，警方可以调取各类数据，顺滕摸瓜。

A7:打完了咱干啥去。涸泽而渔对黑和白来说都是不健康的。而且让你打击成本高于他的搭建成本，还是把某度上的病毒站点打了更直观点。

A8:爵爷走后，某度的安全响应意识和能力严重下降。爵爷也叫小王子，以前安全圈四大暖男之一。

A9:一个小到不能再小的case，没法推理出某度的ir意识和能力严重下降的结论吧，跟什么爵爷更加没一毛钱关系。我不需要求一个某度的工作，也没某度股票，就是认识几个现在做某度安全的朋友，别人不敢说，我无欲无求，出来说一句。

A10:核心的人在境外。可能国师说的是某度高层的安全意识没以前高了，毕竟以国师的身份地位，一般也不去直接找某度一线安全工程师。现在某度高层里面确实没有爵爷这样专业的高管。

A11:那我也想说说了，对应攻击活动已经三四年了，击穿了大量企业，大量人员遭遇诈骗，什么叫小到不能再小的CASE？而其起点均是从某度搜索类似WPS、Winzip等常见软件下载导致，某度的作为在哪里？

互联网厂商提供的是公共服务，厂商安全体系的边界要覆盖公众获得安全的公共服务，而不是只保自己的运营安全吧。

A12:有个小提示：大家以短小时交易作为关键字检索一下title，针对金融的仿冒诈骗网站很多。

A13:既然这么说，那我只好再较真一下了。

首先呢，什么高层不高层，不都是打工的。老板一句话，下个月就去财务结算工资的。打工人要正视自己，不要有幻觉。还这个身份那个地位，是不是红果短剧app看多了。

其次呢，爵爷是谁我不知道，以前某度安全的一号位可是以虚头巴脑出圈的，大家都知道，只是不少打工人迫于其影响不敢公开说而已，特别是传统金融行业的。

再者呢，国师你应该没在甲方负责过安全吧，更别说某度这样的大甲方，有那么几个钓鱼站点，这不太正常了嘛，hw打出那么多窟窿你不去尽心尽力，倒是对某度这点事情上纲上线了。

A14:其实大家对企业的社会责任评价并不是一天两天形成的。不过以后搜索引擎就成了大模型了，移动时代大模型时代某度就不再是入口了。

A15:安全战略要跟随企业战略。企业下坡路的时候，很难要求安全部门承担更多社会责任。企业赚钱多，目标可以是天下无贼。

A16:前些年，某度上的各种莆田系广告泛滥，并且也因此发生过上当受骗伤财伤身的事，现在这几年这个情况明显得到控制。这个和今天的话题有点类似，归根到底还是企业的社会责任边界在哪里。

A17:没有人会要求搜索引擎结果中不会出现钓鱼、挂马网站。现在的问题是，用户搜索的是常见软件下载，而放马链接在首页前几条。

Q：如果这种事发生在美帝，会产生什么后果？被监管罚款，巨额集体诉讼？

A18:企业除了盈利生存的同时，还是负有社会责任的。大家的聚焦重点可能在于说，做为一个企业需要做到什么程度才算是尽到社会责任，怎么才算是在社会责任方面及格。

A19:这个前提比天还大。google搜索结果也有钓鱼的，还挺久，字某节的应该知道。这种事所导致的后果成本会影响企业投入多少资源来治理和预防。bing.cn也是重灾区，排名前面好多假的。

A20:如果不会产生什么成本，或者导致的成本很小，企业在上行期可能会投资源，下行期就另当别论。

A21:不能只说有还是没有，要看比例。我感觉google和必应好很多，某度真是太离谱了。

A22:屁大点事跟企业上行下行还战略扯上关系了，谁家股价没跌过呢。鹅厂200多块的时候人家安全也没躺平啊，现在600块了，也没上天不是。某团、某宝、某东外卖大战打掉那么多利润，应该也没给安全太大压力吧。

A23:看治理成本，我不知道这个治理成本是多少，但是google和必应，恶意链接都还是上升趋势。

A24:某度没有toB付费模式吗，谁交保护费了，就保证用户搜索你家关键词的时候推荐靠谱链接。

A25:魏那个事的时候确实就有说google很圣洁，后来又扒google黑料，发现是一般黑。我觉得大家对某度诟病的并不是说“存在”问题，平台没有这个责任让天下无贼对所有内容负责，但如果通过收费让诈骗、钓鱼、木马排在官网前面，那真的是没有任何动力去整治了，这可是收入来源呢，就跟赌博支付通道一样，不合适也得做。

A26:实际上很多企业在面临这些事情的时候，采用的都是类似做法，要考虑成本，要应付监管。真正愿意全心全力去做的，并不多。

A27:成本是一方面，我感觉收入来源影响更大吧，那些木马，可都是金主。有舆论压力了，有监管压力了，做一做。这玩意是个长期持续对抗的投入。收入来源也是很关键的问题。

A28:一搜google浏览器，前5全是假的。

A29:Bing国内版问题挺大的，最近某度的朋友给我们反馈了情报。我司的关键词被黑灰产SEO，赌博站排在第一页。后面几页挨着好几个，Bing这个问题挺突出的，这个国内和国外也是分开的。

A30:我们的一个样本源，就是日常用一些软件关键词表搜这几个引擎，如果发现到非常见下载源的，就下回来，在执行文件和安装包里中找是否有样本。

后台有这个机制的国内安全企业我估计至少有四五家，这个成本是弹性可控的。某度自己做这个机制应该比安全企业方便的多，而且我印象中，某度很早就上线了安全标注功能的。

A31:经济下行期能活下来就是胜利。盈利模式决定行为，没啥好争的，和前几年几个云上利润最高的是一堆做博彩擦边的一样，企业没那么高的道德标准，都是先赚钱会下去再说，等有余力了再立牌坊。

A32:少了诗和远方，多了世态炎凉是吧。以最小的的资源博最大的收益价值，这种赌博心态在甲方安全一直用的很淋漓尽致。

A33:《一群身价数亿的穷光蛋》

其实我对这篇文章表达的愿景还挺认可的。十几年前，我们看到世界上市值最高的企业都是一些国家队，能源金融运营商之类的，今天再来看，前五的都是工程师创办的企业，国内也有三家是工程师创办的企业。

这批穷光蛋理工男，认死理轴的很，抗击打能力强，同时具备理想主义，一条路走到底，物质欲望不高，跟AI机器人没区别，除了进步你都想不到他们能做什么。苟且就太容易了，还是要有点理想。

A34:赵武没有考虑弄2-3个人投入部分时间，专门去捡漏国外企业的漏洞么？了解一些白帽子拿到巨额奖金，而fofa在这块本身就有先机。bug bounty 业务组，就顺手捞那几个头部的就行了，比起辛辛苦苦拿低价合同，美金赚起来轻松些。

A35:挖到漏洞，得献给国家吧。出国也容易被佛伯乐请喝茶，黄金时代一去不复返了。

A36:真的没必要，这口饭现在很难吃了，还限制自由，不划算。海外搞个马甲这么干？

A37:某度也是神奇，我搜个软件，合理期待是这个软件官网是在最前面才是。但几乎一次都没有试过，官网的放在前面，基本都是野鸡站点，灰色全家桶都是最轻的了。

A38:别聊这个了，解决不了，还是聊技术吧。

https://wilgibbs.com/blog/defcon-finals-mcp/ LLM+MCP AI直接自动解了DEFCON CTF题目

A39:我觉得是不重视又或者是商业因素技术上应该不是问题。

A40:关于对《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》征求意见稿公开征求意见的通知

A41:项飙：真正的解压方式是把问题谈到足够深。我还是没明白，在基础设施的2c社会责任，和企业2b赚钱，二者应该失衡了。

A42:别纠结了，3大运营商这么多年，政府这么大力度，诈骗电话、信息号码都管不住，是技术不行么，一般企业更不用说了。

A43:我们是高效率、低工资的工种么？

……

让我想出了被管理学的概念。管理学的目的是提高整个组织的效率，被管理学的目的，是提高自己在组织中的地位，稳定性和收入。感觉被管理学的核心，是让自己成为被信赖的唯一的低效率部门。这样收入反而高。

源自网络段子，据考出自微博@饭友社

A44:哈哈哈，真实，也就敢喷喷敢喷的吧。你说运营商真的拦不住诈骗电话吗？

A45:可能真拦不住哈哈哈?方法还是很多的，改进空间也挺大。

A46:搞安全运营的，都还在想办法提高各种告警的准确率和召回率，一大堆的corner case，随着技术手段提升还不断增加。作为对运营商有所了解的，对这些黑灰产识别也是存在难度的。可以参考反诈压力下的各种误伤和监管强度。

A47:99.9%的老乡不会也不需要接到境外电话，这个措施早就应该下了。那就剩下境内的了，那不就是看叔叔多用力了。反诈误伤最大的是取款限制。

A48:那不是反诈，那是反洗。

A49:感觉是打着反诈的口号控制取钱，反洗力度这么强吗。用某音小视频里的一个对白来说，人家几十亿都搞出去了，你们不去搞，你盯着我这五万八万的铆足劲了弄。

A50:我说的是诈骗电话和信息的号码，不是诈骗行为本身，现在各种虚拟号，企业号码，不是实名制很多年了么，怎么还一堆查不出来源的号码。

说白了还是利益问题，我认识一个isp 的客户经理，一个客户的短信业务一天的利润就8w，你觉得里面有多少是黑灰产在用。

A51:《银狐情报共享第3期｜银狐软硬兼施，硬刚百款安全软件外，悄悄藏身杀软信任区》

银狐攻击态势持续升温，对抗技战术不断迭代更新。鹅厂安全作为国内兼具云管端安全产品与威胁情报能力的综合性安全厂商，同时深度协同鹅厂生态产品打击某狐钓鱼攻击，具备核心威胁感知优势。

A52:反诈是公安的命令，反洗是银监的命令，你说银行听谁的。通信管理局也管反诈，据说免杀做到了一个新的高度。

A53:有厂商打掉了某狐的服务端了吗？搞一套远程软件。恐怕不只是一般的网络犯罪组织那么简单。

A54:可以做太多事情了… 这种规模的僵尸网络，百万台？卖内网权限，卖商业情报，卖数据，低端肉鸡刷广告，DDOS，挖矿… 赚钱场景多多的。

A55:没那么麻烦，他们入侵了政府人员电脑，利用对方的办公IM拉同事群，然后发各种消费补贴/加班补贴/高温补贴之类的钓鱼诈骗通知，收集银行卡/密码身份证短信验证码之类的信息，来钱很快。动不动就是几百个公务员被欺诈。严重影响我们政府单位工作运转。

A56:某狐这么猖狂，是大量优秀的产品、技术、运营失业了，找不到合适的工作，铤而走险搞起来产业化的黑产吗？

A57:国外的吧…

A58:对钓鱼手法、仿冒网站对中国那么熟悉，怎么看也不像国外的。一会儿社保、一会儿金税，对中国国情了如指掌。

A59:哥们方向偏了，应该是帝国主义亡我之心不死，拉拢了一些二狗子欺骗我们的公务员，影响我们政府单位运转的效率，必须一锅端了抓回来把牢底坐穿，情绪已经到位了，接下来看看哪个安全公司可以把他们一锅端了，它就是2025年祖国安全一哥。

A60:比较现实的最佳结果是把某狐组织的人员清单拉一个，500块一个人进行全球通缉，跨境抓人得有受害者摇公安部和外交部的领导批条子。

A61:更现实的情况是，在安全行业收入持续下行的大环境下，银狐是一个难得的对手和靶机，也能激发一些话题和商机，谁干他，谁就是…..

话题二：请教个问题，流量监控发现某个内网终端一直在ping某个外网地址，怎么排查原因？

A1:外网地址的成分分析过了没？？有没有丢到威胁情报里分析一下？

A2:怀疑是终端某个软件造成的，怎么能找到他。上去看是什么程序发起的流量，netstat。

A3:上内网终端是查，进程啥的，找到应用。

A4:tcpview。

A5:这个查了，看不到。可以跟踪一下路由看一下，装个hids agent。

Q：9.0.254.1这个地址大家熟悉么？

A6:sysmon。

A7:丢威胁情报库里看看，有可能这玩意只能看TCP/UDP的。

A8:看下ping报文是否正常，是不是带了数据出去。

A9:看不了ICMP。

A10:wireshark、tcpdump。

Q：应该是，sysmon好用吗？

A11:sysmon应该可以，然后你用系统防火墙起一下规则应该也可以抓。sysmon可以找出进程，但要安装，抓包定位不到进程。

A12:一个美丽国的动态IP，没有情报，说明不是已知的黑，也不是已知的白，攻击者用来做远控的概率比较大。抓包快，有问题立刻封了。

A13:瞬间多了好多方法，这个社群（企业安全建设实践群）真好，感谢大神。我们与外网不通，这个地址也ping不通。

Q：pcap可以分析是否icmp隧道，把它存下来，然后把网断了。你是win的还是linux的？

A14:win的不错，可以慢慢分析复现。

A15:一定要把进程与计划任务查个底儿掉。可以用sysinternalsuite。

A16:有和某个安全厂商合作过吧？qaxlmctwb什么的，找两家借一下终端检测工具，谁好用未来买谁 没支持的话就只能自己装火绒剑、processmonitor这些去定位。确实是要通过网络行为把进程找出来，你这个连不通还一直在访问应该容易抓住。

A17:奇怪的是，上周这个终端使用人休假了，8月6日开了一下机，一直在访问。这周开机了四天了，没有访问了。

A18:不能复现的都比较麻烦，终端能上网？

A19:DHCP查了吗？

A20:内网，上不了外网。还访问了443端口比较多。

A21:这个内网终端，以前没有这个情况，最近几天才出现的，查下移动存储审计，看最近拷贝了什么可执行文件到终端里没？或者最近安装了什么程序没？

A22:这个考虑过，没有发现。其他终端没事。

A23:估计中毒了，先ghost一个慢慢分析，然后再重装，杀不干净的。重装了事最轻松，问题是怎么进来的没根除。

A24:只能等他再出现了，这个电脑是我自己用的。不想重装，一定要找到原因。

A25:历史表明是属于ibm.com的，你看看是不是有IBM相关服务或者硬件。

A26:历史怎么查的？

A27:这个吧。

A28:电脑上没有ibm相关的服务。

A29:同步个信息，谁家有在用outlook邮箱服务的可以和自己公司的业务确认一下，有没有开启direct send这个功能，这个功能可以伪造任意发件人，绕过spf,dkmi,dmarc等所有验证发送钓鱼邮件。

A30:意思是自己人给自己同机构内的邮箱发么？

A31:是的。

A32:仅限自己人？

A33:发件人任意伪造。

A34:不是outlook也从服务端把转发服务关了，有同事不理解为啥不让开，现在知道了。

A35:你可能会收到伪造内部公邮发送的钓鱼邮件，也可能收到伪造外部各大公司的邮件发送的邮件，在收件人视角是看不出任何伪造迹象的。

---

0x2 群友分享

【行业思考】

《关于“构建安全话语体系”的一些思考》

【安全资讯】

《思科确认数据泄露：黑客利用AI语音钓鱼攻破防线，用户信息被盗》

【法规解读】

一图读懂《数据安全技术 数据安全风险评估方法》

---

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

SFTP安全传输与信创UKey认证实践探讨。｜总第297周

探讨IAM中运维密码的安全管理与优化策略，及同城应用级、异地数据级灾备的依据与配置｜总第296周

探讨Syslog日志还原网络流量的对策，解析金融机构内部微服务鉴权的最佳实践，以及公有云环境下出站访问控制的方法｜总第295周

---

如何进群？

如何下载群周报完整版？

请见下图：

‍

‍

‍

‍

‍

‍

---