文章总结： 一种名为银狐的新型木马正专门针对VPN用户，通过伪造快连VPN等应用的下载页面进行诱骗。该木马利用微软WDAC策略禁用安全软件，并释放Gh0st远控木马，以窃取信息、监控屏幕等。360已构建全周期防御矩阵应对此威胁。 综合评分： 85 文章分类： 恶意软件,漏洞分析,应急响应,解决方案,网络安全

新型“银狐”木马专挑VPN用户下手，利用微软策略上演系统级潜伏

360数字安全

2026年3月20日 18:11 北京

近日，360数字安全集团监测到一个新的银狐团伙，其主要攻击目标为VPN用户。在攻击过程中，该团伙伪造“快连VPN”、“Chrome”等应用的下载页面，诱导用户下载执行恶意程序。

该木马运行后不仅会释放Gh0st远控木马，窃取用户敏感信息并实现持久化控制，还会利用微软WDAC策略，阻止安全软件及相关签名程序的启动。以伪装成Chrome官网的钓鱼站点为例，其链接为hxxps://chrome01.gg.zemhx.cn/#，页面制作精良，极具迷惑性。

套壳Chrome引诱下载

深植远控木马窃取信息

此次360捕获的木马样本将自己伪装成Chrome浏览器，不仅采用Inno打包，还精心设计了软件图标，目的就是诱导用户下载运行。一旦用户下载并运行，它便会在%userprofile%\appdata\local\programs\c3a0420d8\nsggo\ecjrb\目录下释放某游戏的主程序文件。

用户运行的这个主程序本身是一款正常的游戏应用，不含恶意代码，其作用是为后续攻击行为提供掩护。然而，该程序在执行过程中会默认加载同目录下的“cas.dll”文件，从而触发其中隐藏的恶意代码。完成恶意操作后，木马还会将该临时目录设置为系统隐藏属性，以实现自我隐藏。

恶意代码启动后，首先将精心构造的代码段注入系统服务进程WmiApSrv.exe，随后采用线程池注入方式，将另一段完整的可执行代码注入系统服务宿主进程svchost.exe中。此后，该木马还在%windir%\system32\CodeIntegrity目录下释放一个名为SiPolicy.p7b的隐藏文件，利用微软WDAC策略禁用安全软件及相关签名程序的启动。360安全智能体解码该文件后发现，其拦截策略借助系统管道协议构建通道，并通过RPC创建服务，以实现持久化控制。

最终，该木马将属于Gh0st远控木马家族的后门模块注入系统进程sihost.exe中。该模块不仅会窃取用户的系统版本、主板、CPU、磁盘空间、内存等设备信息，还具备屏幕监控、剪贴板读取、文件下载执行等一系列高危远控功能。

多节点纵深布防

360终端安全智能体蜂群绞杀银狐

事实上，在恶意代码进行进程注入时，360终端安全智能体能通过系统内预置的监控点，第一时间发现并有效拦截此类敏感操作。

然而，若终端未安装或启用360终端安全智能体，该木马一旦先行感染，便会禁用包括360在内的常见安全软件。即便事后发现异常再安装，也为时已晚。

因此，针对银狐木马，最有效的防范除了在于主动识别钓鱼信息并严格遵守安全规范外，还应采取体系化、针对性的防护措施，筑牢安全屏障。

作为国内兼具数字安全和人工智能双重能力的企业，360在自研安全大模型的赋能下，将安全专家的能力和经验进行固化，并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点，打造出终端安全智能体蜂群。

为有效应对银狐木马威胁，360依托终端安全智能蜂群体赋能的云安全立体防护体系，构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。

在木马传播的初始阶段

该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖，可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测，在木马落地前即完成自动查杀。

针对攻击者精心设计的对抗手段

比如遭遇掺杂大量干扰文件的多文件攻击，抑或是面对超大文件规避检测的传统伎俩，以及针对加密压缩包和“配置型白利用”等新型攻击方式，该体系皆可依托终端安全智能体蜂群赋能的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，从而实现自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并持续监测其后续行为。

对于传输过程中的漏网之鱼

360主动防御系统会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等，360主动防御对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。

在终端处置环节

360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道，为深度清理争取宝贵时间窗口。此外，该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复，也支持对被银狐木马利用的合法管理软件的智能检测与卸载。

据360终端安全智能体蜂群监测，近两年被滥用于攻击的合法软件已达数十款，常见包括IPGUARD、阳途、固信、安在等，360终端安全智能体蜂群已支持对此类软件的全面检测与一键清理。

目前，360云安全立体防护体系已经实现对银狐木马病毒的全面查杀，建议广大政企机构尽快部署。

如需咨询相关服务

请联系电话

400-0309-360

往期推荐

| | | | | | — | — | — | — | | | | | | — | — | | 01 | ● 2026两会观察 | 周鸿祎为智能体人才培养献策，360先行落地 | | ► 点击阅读 | | | | | | | — | — | | 02 | ●  360龙虾卫士重磅上线：九大能力专治OpenClaw“裸奔” | | ► 点击阅读 | | | | | | | — | — | | 03 | ● IDC双报告首推：360以绝对实力护航每只“龙虾”安全 | | ► 点击阅读 | | | | | | | — | — | | 04 | ● 360安全龙虾「养虾速成课」正式上线ISC.AI学苑！ | | ► 点击阅读 | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360数字安全 《新型“银狐”木马专挑VPN用户下手，利用微软策略上演系统级潜伏》