为终端安全构建

“检测-分析-响应-修复”的闭环防御体系

“银狐”木马及其变种凭借高度隐蔽的攻击手法（如加密压缩包传播、伪装工作文档的可执行文件等），已成为当前企业和组织面临的重大威胁之一。

山石智铠EDR作为面向终端的保护手段，是山石网科整体解决方案中的核心一环。针对这类攻击，山石智铠EDR通过以下核心技术能力实现有效检测与防护：

一、行为基因分析

山石智铠EDR通过实时监控进程运行、文件操作、注册表修改及网络连接等关键活动，能够有效识别“银狐”入侵的各项动作，例如识别其一系列入侵动作并形成关联：

1.异常文件操作捕捉：当“银狐”木马执行文件创建等操作时，EDR会记录完整的操作轨迹。例如，检测到“util.exe”在非预期目录（C:ProgramFiles(x86)WindowsNT）创建“winnt.exe”，并标记该操作的进程路径、创建时间及文件哈希值。通过比对正常文件操作基线，EDR快速识别出“合法进程创建可疑文件”的异常特征，为后续分析保留关键线索。

图注：溯源定位分析

2.针对“银狐”通过计划任务实现持久化的行为，EDR可捕捉到异常的进程调用链。例如，记录到“cmd.exe”以静默模式执行计划任务创建命令（SCHTASKS/Create/F/TN"PayloadTask*"），强制创建任务并启动“winnt.exe”，随后立即删除任务以规避检测。EDR通过解析进程命令行参数，识别出“创建即运行、运行即删除”的恶意特征，阻断其隐蔽执行路径。

图注：溯源定位分析

3.“银狐”常通过修改注册表隐藏计划任务，EDR对此类操作保持实时监控。例如，捕捉到“cmd.exe”执行regadd"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree12306Task"命令，试图将任务索引值设为0以隐藏痕迹。EDR通过比对注册表正常配置基线，识别出“非系统进程修改任务缓存”的高危行为，及时触发告警。

图注：溯源定位分析

二、文件特征/情报验证

在捕捉到疑似“银狐”的行为后，山石智铠EDR结合启发式引擎与云端威胁情报库，对可疑文件进行深度验证，确保恶意行为判定的精准性。

例如，当EDR监测到“util.exe”释放“runtime.exe”后，立即启动双重验证机制：

• 本地威胁行为分析：检测“runtime.exe”的注册表行为特征。

• 云端情报比对：通过云查杀引擎将文件哈希值与山石威胁库同步校验，发现其与“银狐”变种的已知样本特征高度匹配，最终判定该文件为“银狐”木马的核心载荷。

依托每日更新的全球威胁情报库（覆盖超5亿条恶意样本特征），山石智铠EDR可实现对“银狐”变种的快速响应，确保新出现的恶意文件及时被纳入检测范围。

三、攻击链溯源

山石智铠EDR通过串联终端各环节行为数据，构建“银狐”入侵的完整攻击链图谱，帮助用户追溯入侵源头，定位漏洞入口。

以某实际案例为例，EDR还原的“银狐”初始入侵路径如下：

1.初始入侵：用户双击伪装为常用软件的msi安装包，双击后触发“msiexec.exe”执行；

2.载荷释放：安装程序暗中释放“util.exe”至C:ProgramFiles(x86)WindowsNT目录，并以系统权限启动；

3.后续检测到恶意行为执行：“util.exe”先后创建“winnt.exe”、“runtime.exe”，通过计划任务启动恶意进程、修改注册表隐藏痕迹，最终完成“银狐”木马的植入与持久化。（如上检测内容）

图注：执行伪装程序，安装msiexec

图注：释放并创建util.exe进程

图注：溯源定位分析

通过时间线关联分析，山石智铠EDR清晰展示出入侵源头为“伪装成正常安装程序的恶意MSI文件”，帮助用户回溯至初始感染点（如员工误点的钓鱼邮件附件、违规U盘），为后续加固提供明确方向。

图注：一次“银狐”入侵的完整过程

山石智铠EDR通过“行为基因分析+特征情报验证+攻击链溯源”的三重机制，实现了对“银狐”木马从入侵行为捕捉到源头定位的全流程防护。面对“银狐”这类新型威胁，其检测优势在于：既能通过细粒度行为监控识别隐蔽攻击，又能依托云端情报提升判定准确性，更能以可视化攻击链帮助企业追溯漏洞根源，为终端安全构建起“检测-分析-响应-修复”的闭环防御体系。

关于“银狐”木马介绍及山石网科整体解决方案，请点击