文章总结： 本文介绍了利用EDR威胁狩猎捕获银狐木马的实战过程。银狐通过SEO仿冒软件下载站传播，使用InnoSetup打包恶意EXE并释放至ProgramData等目录。通过分析进程注入、API调用及命令行参数构建检测规则，实现自动闭环处置。建议回收管理员权限并封锁恶意域名以加固安全。 综合评分： 87 文章分类： 威胁情报,恶意软件,安全运营,应急响应

通过EDR威胁狩猎捕获银狐

原创

kelvin kelvin

Mimi is Cat

2026年2月3日 20:18 广东

事件经过

根据25年12月-26年1月感染银狐提取到的IOC进行威胁狩猎发现如下感染来源

https://jkejke.hoyenoy.com/Soda12.2A.zip

https://olekndx.hoyenoy.com/Setup12.2.zip

https://olekndx.hoyenoy.com/google12.3.zip

https://jkem45.hoyenoy.com/shurufa15A.zip

解开ZIP包查看目前基本都使用VC_radist.x64.exe 捆绑到MSI安装包中

可以看到释放路径

除了之前常用的ProgramData路径，近期已有部分使用Inetpub路径

根据特征如命令行参数、线程调用、进程注入、系统API调用、IP、URL等配置检测规则更准确的捕获银狐木马，可以做到完美检测不会遗漏，配合自动处置闭环整个流程

有了以上特征可以通过EDR威胁狩猎和自动编排功能自动闭环

查看VC_radist.x64.exe文件发现是由Inno Setup单文件打包工具打包而来，使用解包工具解包后看到对应路径及恶意文件

又是老配方签名文件+2个数据文件到内存中释放，从本文上面的内容可以看出是注入到系统进程中后再继续内存解密释放木马，比之前对抗更强了

事件归因

通过SEO将钓鱼网站排名提高，通过仿冒一些常用软件官方下载网站传播。

加固

1、 回收计算机管理员权限

2、 使用软件中心管理软件的安装及卸载

3、 计算机本地限制hoyenoy.com根域名访问

IOCs

https://jkejke.hoyenoy.com/Soda12.2A.zip

https://olekndx.hoyenoy.com/Setup12.2.zip

https://olekndx.hoyenoy.com/google12.3.zip

https://jkem45.hoyenoy.com/shurufa15A.zip

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Mimi is Cat kelvin kelvin《通过EDR威胁狩猎捕获银狐》