识别、防御指南
“银狐”(SilverFox)是一种高度活跃的国产木马病毒,自2023年起在国内广泛传播,主要通过钓鱼邮件、社交软件(如微信、QQ、钉钉)和恶意网站进行投递。该病毒具备远程控制、键盘记录、凭证窃取、持久化驻留等能力,常被用于窃取企业财务信息、员工账号、内部系统权限等敏感数据。
典型攻击场景包括:伪装成“工资单”“发票”“税务通知”“违规名单”等压缩包(.zip/.rar)或Office文档(.doc/.xls),诱导用户打开后执行恶意宏或释放可执行文件。一旦感染,病毒会连接C2服务器(命令与控制服务器),上传主机信息并下载后续载荷,甚至横向渗透内网。
2025年多起企业数据泄露事件均与银狐病毒相关,攻击者利用其隐蔽性强、变种快、绕过常规杀软的特点,成功绕过基础防护体系。
以下为近期监测到的银狐病毒关联的恶意域名与IP地址,请在防火墙、DNS过滤或EDR系统中进行阻断:
| 类型 | IOC 值 | 更新时间 |
|---|---|---|
| 域名 | fafdafaf.shop | 2025年9月29日 |
| 域名 | koeuisg.cn | 2025年9月29日 |
| IP地址 | 43.199.111.150 | 2025年9月29日 |
| IP地址 | 47.128.179.227 | 2025年9月29日 |
| IP地址 | 47.239.197.9 | 2025年9月29日 |
| IP地址 | 206.238.196.210 | 2025年9月29日 |
| IP地址 | 23.235.165.5 | 2025年9月29日 |
| IP地址 | 156.251.17.248 | 2025年9月29日 |
| IP地址 | 206.238.196.73 | 2025年9月29日 |
| IP地址 | 119.28.228.14 | 2025年9月29日 |
| IP地址 | 43.199.219.202 | 2025年9月29日 |
| IP地址 | 43.135.17.68 | 2025年9月29日 |
| IP地址 | 18.143.121.97 | 2025年9月29日 |
| IP地址 | 43.199.120.146 | 2025年9月29日 |
| IP地址 | 122.10.15.29 | 2025年9月29日 |
| IP地址 | 16.162.177.72 | 2025年9月29日 |
| IP地址 | 38.181.2.70 | 2025年9月29日 |
| IP地址 | 206.238.115.177 | 2025年9月29日 |
| IP地址 | 154.26.192.32 | 2025年9月29日 |
⚠️ 建议将上述IOC加入安全设备黑名单,并定期同步最新威胁情报。
以下为可用于网络安全事件验证系统的检测规则,可有效识别主机是否感染银狐病毒:
将上述规则保存为 silverfox.rules 并加载到网络安全事件验证系统配置中,即可实时监控内网主机是否与银狐C2通信。建议配合全流量安全分析系统进行告警聚合与溯源。