Skip to content

银狐悖论:为何用户总在中招,而 EDR 总在失守?

· 21 min

引言:两个无解的疑问#

企业部署了最新的EDR,员工接受了多次钓鱼培训,为什么银狐依然能像幽灵一样如入无人之境?用户还要怎么小心?EDR究竟输在哪?银狐的“通关秘籍”到底是什么?事实上,银狐并不需要昂贵的 0-day 漏洞。它的成功在于彻底武器化了“合法性”——在合法的场景下欺骗用户,用合法的程序蒙蔽 EDR。

场景欺骗:为何用户总在中招?#

传统的防御建议总是老生常谈地要求“提高安全意识”,仿佛这能解决一切问题。然而,银狐的肆虐证明了这一逻辑的局限性。对于目标群体而言,中招并非因为无知,而是因为攻击者将恶意代码完美封装进了极其逼真的“合法业务场景”中。在真假难辨的高仿真环境下,即便是有经验的员工也难以幸免。

1. “SEO”劫持与水坑攻击#

**关键词劫持:**攻击者极其精准地购买了高频办公软件的搜索引擎广告位。重点劫持“发票打印驱动”、“税务申报插件”、“WPS 缺字修复”、“CAD 看图王”等。这些都是财务和行政人员在工作中遇到阻碍时“急需”的软件。

用户通常不是被动收到钓鱼邮件,而是在解决工作问题的过程中主动寻找并下载了银狐购买广告位的“假冒软件”。 这种主动搜索的行为,绕过了由于“陌生人发文件”产生的心理防御机制。 因为是“自己主动找来的”,所以默认它就是安全的。

“高仿”的极致:银狐不再满足于简单的图标伪装,而是实现了从官网 UI 到安装流程的全量伪装。攻击者搭建了与正版软件官网一模一样的钓鱼站点,用户下载到的不再是单纯的病毒,而是一个**“功能完备的恶意安装包”**。当用户双击运行后,真的会弹出一个安装界面,甚至真的安装了一个 WPS,但在后台静默释放了木马。用户直到电脑被控制,都以为自己只是装了个软件。

2. IM 工具的滥用#

传统的安全培训总是强调“不接陌生文件”,但银狐打破了这一规则——它不再是陌生人,而是潜伏在列表里的“熟人”。 攻击者往往通过盗号或高仿账号潜伏在工作群中,利用“工资表”、“团建名单”等高频词汇进行轰炸,甚至模仿老板语气直接点名:“@财务小王 查一下这张票”。在**“熟人关系+紧迫指令”**的双重压力下,受害者的警惕性瞬间归零。

这一趋势在数据上得到了惊人的印证:根据 2025 年统计,59% 的银狐攻击已转向 IM 工具,而传统邮件传播仅剩 1%。 这意味着攻击者已彻底放弃了高成本的网关对抗,转而进攻企业防御最薄弱的环节。在中国职场,防火墙能拦住邮件,却拦不住微信;在员工大脑的隐形白名单里,“微信发来的文件”往往被默认等同于“安全的业务文件”。

3. 文件格式的武器化#

银狐深知,直接发送 .exe 会触发警报,于是它开始利用操作系统原生支持的“合法容器”来运载毒药:

4. 滥用合法工具#

这是银狐最讽刺,也是 EDR 最难处理的一招:它不再自己写木马,而是直接使用企业 IT 部门也在用的合法软件。

技术逃逸:EDR 为什么“视而不见”?#

企业最大的困惑在于:为什么装了最贵的 EDR,还是会被银狐穿透?面对银狐,EDR 的失效并非因为特征库过时,而是输在了**“身份”**上。银狐通过滥用操作系统底层的信任机制(数字签名、内核驱动),获得了凌驾于 EDR 之上的权限。它证明了一个残酷的悖论:在攻击者获取了系统的“绝对信任”后,安全软件本身也成了被收割的对象。

1. 静态层面的“信任滥用”:白加黑#

银狐利用了带有微软或大厂数字签名的合法程序(白文件),例如 Windows Defender 自带的 MpCmdRun.exe 或某知名 RPG 游戏的启动器。 攻击者在这些白文件的同目录下放置一个恶意的 DLL(黑文件),伪装成系统库(如 mpclient.dll)。白文件启动时,受 Windows 加载机制(优先加载同目录 DLL)的影响,自动加载黑 DLL。

为什么拦不住: EDR 看到主进程是微软签名的,通常会放行或降低监控级别。如果 EDR 强杀,极大概率会误杀正常的系统进程导致蓝屏或业务中断。因此EDR通常不敢随便杀有数字签名的进程,否则若导致业务瘫痪,厂商将需要承担主要责任,声誉也会大受影响。 银狐就在这个**“误报容忍度”**的夹缝中生存。

2. 内核层面的“降维打击”:BYOVD#

这是银狐目前最核心的对抗技术。攻击者携带 TrueSight.sys(反作弊驱动)、Zemana 等拥有合法微软数字签名的驱动程序,利用其正规身份绕过 Windows 驱动签名强制执行 (DSE) 机制加载入内核。入场后,银狐利用驱动内部的已知漏洞将权限提升至 Ring 0 (内核态),直接在底层解除 EDR 的 API 挂钩 (Unhooking) 或强制结束 360Tray.exe 等安全软件进程。

**为什么拦不住:**EDR 输在了“权限不对等”上。在 Windows 机制下,存在漏洞的合法驱动依然被视为可信组件。当银狐掌握了内核权限,仅运行在应用层 (Ring 3) 的 EDR 缺乏同级别的对抗能力,导致防护进程被直接关闭。

3. 系统层面的“规则反噬”:WDAC 与 GAC 劫持#

WDAC 借刀杀人: 这是最讽刺的一招。银狐滥用了 Windows Defender 应用程序控制 (WDAC) 策略。攻击者通过加载恶意的 SiPolicy.p7b 策略文件,告诉 Windows 内核:“除了微软自带的程序,其他所有软件(包括 360、火绒)都是非法的。” 结果,操作系统亲自出手,禁止了安全软件的运行。

GAC 全局劫持: 利用 .NET 的 全局程序集缓存 (GAC)。通过注册表操作,银狐劫持了系统的 .NET 环境,导致管理员每次打开 PowerShell 或系统管理工具时,都会自动加载并执行恶意 DLL。

为什么拦不住? EDR 输在了“合法性”上。WDAC 是微软官方推荐的安全功能,GAC 是微软官方的运行机制。银狐并没有绕过防御,而是利用了防御设施本身。EDR 无法拦截操作系统执行“合法的安全策略”,哪怕这个策略的内容是“自杀”。

4. 隐匿与持久化:系统机制的“灯下黑”#

银狐不仅要进得来,还要藏得住。它避开了所有 EDR 重点监控的“大路”(如 Run 注册表、CreateRemoteThread API),专走系统预留的“暗道”。

为什么拦不住: EDR 输在了“监测盲区”上。绝大多数 EDR 都是通过 Hook 关键 API(如创建线程)来监控行为的。而 PoolParty 滥用的是合法的线程池调度机制,在 EDR 看来,这只是系统在正常地分配任务,完全没有任何异常特征。PendingFileRenameOperations 是 Windows 更新的必经之路,EDR 为了避免误拦截系统更新,往往不敢对这个位置进行强杀。

5. 流量的隐身:C2 的云原生化#

银狐彻底抛弃了容易被威胁情报标记的独立 C2 IP,转而将指挥基础设施完全“寄生”在 Aliyun OSS、Tencent COS、GitHub、Discord 等合法的公有云服务上。为了极致的隐匿,它还引入了 **隐写术 **:Loader 会访问公开图床下载一张看似人畜无害的 JPG 图片,实则利用 LSB (最低有效位) 算法从像素点中提取加密的 Shellcode。整个过程在流量监控设备看来,只是一次普通的图片加载行为。

为什么拦不住: 企业输在了“业务连续性”上。企业的防火墙敢封阿里云的 IP 吗? 敢封 GitHub 吗? 不敢。 银狐把恶意指令伪装成正常的图片下载、网页访问。 在流量监测设备(NDR)眼里,银狐的通信完全是合法的 HTTPS 请求,混在海量的业务流量中,根本无法区分。

防御复盘:构建针对“银狐”的纵深防御体系#

假设用户一定会点,假设文件一定会落地,我们如何阻止它起效?

1. 针对“白加黑”的防御:打破信任链#

传统的 EDR 信任白名单,我们需要引入基于IOA(攻击行为指标)的监控——比如,一个记事本进程不应该去连接互联网,一个播放器不应该去读取浏览器Cookie。

2. 针对“内核对抗(BYOVD)”的防御:驱动管控#

银狐带进来的 TrueSight.sys 是有签名的,所以不能只看签名。

3. 针对“C2 通信”的防御:流量行为分析#

既然 IP 是阿里云/Github 封不掉,内容是加密的解不开,那就看**“通信频率”**。

4. 针对“投递链”的防御:软件供应链管制#

这是解决“用户乱下软件”的终极方案。

结语:告别“默认信任”的时代#

银狐的肆虐,本质上是给所有企业上了一堂关于“零信任”的实战课。它证明了,在现代攻防中,没有什么是天生可信的:用户的“主动搜索”不可信,熟人的“微信头像”不可信,甚至微软签名的“驱动程序”也不可信。

EDR 不是万能药,它只是最后一道防线。真正的防御,必须建立在**“假设已经失陷”**的前提下——收回对人的过度信任,收回对系统的过度信任。

对抗银狐,不是要买更贵的 EDR,而是要建立一套**“哪怕你点了,也跑不起来;哪怕跑起来了,也传不出去”**的纵深防御体系。