WPS、向日葵、Chrome接连沦陷：拆了银狐3个变种后，我发现这是一条完整的黑产产业链

📢 银狐样本分析系列 · 总结篇

这是「EDR实战派」银狐样本分析系列的阶段性小结。 前三篇我们分别拆解了银狐伪装WPS、向日葵、Chrome的变种， 这一篇把碎片拼成全景。

三个”安装包”，同一只”狐狸”

过去一周，我连续拆解了银狐家族的三个最新变种。

第一个，伪装成 WPS 安装包。289MB 的体积，4 层攻击结构，像一个精心设计的俄罗斯套娃。

👉 详细分析见：《拆开一个289MB的”WPS安装包”，我发现了银狐的4层攻击套娃》

FoxHunterSec，公众号：EDR实战派拆开一个289MB的”WPS安装包”，我发现了银狐的4层攻击套娃

第二个，伪装成向日葵远程桌面安装包。拆开后我发现，银狐的底层架构正在经历一次剧烈的升级——DLL 导出函数从 19 个暴增到 211 个，加载器导入从 15 个跃升至 52 个。更关键的是，PDB 路径泄露了一个此前从未公开的开发代号：Landun（蓝盾）/ ACE-Setup。

👉 详细分析见：《银狐又换马甲了：这次伪装向日葵，DLL导出函数从19个暴增到211个》

FoxHunterSec，公众号：EDR实战派银狐又换马甲了：这次伪装向日葵，DLL导出函数从19个暴增到211个

第三个，伪装成 Chrome 离线安装包。银狐的触手从办公软件、远程工具，伸向了浏览器——它在百度搜索结果里”等”你搜”Chrome离线安装包”。

👉 详细分析见：《搜”Chrome离线安装包”的人注意：银狐正在搜索结果里等你》

FoxHunterSec，公众号：EDR实战派搜”Chrome离线安装包”的人注意：银狐正在搜索结果里等你

三个不同的软件，三种不同的伪装，但拆开后，我看到的是同一套成熟的攻击架构在不断进化和扩张。

这不是一个人在写木马。这是一条产业链在运转。

先看全景：银狐到底是个什么级别的威胁？

在展开技术细节之前，我想先回答一个很多人问过我的问题：

“银狐到底有多严重？值得我们专门花时间防范吗？”

答案是：如果你在国内做安全，银狐是你绕不开的对手。

我做了一张表来概括：

银狐不是那种”偶尔冒一下头”的威胁。它是一个持续运营、持续进化、有明确商业目标的黑产工具平台。

五个令人不安的进化趋势

拆了三个变种后，我发现银狐不只是在”换马甲”。它在五个方向上同时进化，每一个都值得安全团队警惕。

趋势一：攻击面在系统性扩大

银狐的伪装目标不是随机选择的。它在有计划地覆盖不同的用户群体。

时间线：银狐的伪装对象扩展路径2023年      金税软件 / 电子发票工具  ↓         → 目标：财务人员2024年      WPS / Office 办公软件  ↓         → 目标：所有办公人员2024-2025年  向日葵 / ToDesk / 远程桌面工具  ↓         → 目标：IT运维 / 远程办公人员2025年      Chrome 浏览器 / 常用工具  ↓         → 目标：几乎所有电脑用户

你能看到一个清晰的趋势：银狐的目标人群在不断扩大，从特定岗位走向全员覆盖。

最初只盯着”管钱的人”——财务、出纳。

然后扩展到”用电脑的人”——WPS几乎人手一个。

再到”搞IT的人”——向日葵是运维必备工具。

现在连”装浏览器”这么基础的操作都不放过。

这意味着：银狐正在把”谁可能是受害者”这个圈，画得越来越大。

趋势二：底层架构正在经历”工业化升级”

这是三个变种分析中最让我震撼的发现。

一个远控木马的 DLL 导出函数从 19 个暴增到 211 个，意味着什么？

意味着银狐正在从”单一功能的木马”进化为”模块化、插件化的恶意软件平台”。

19 个函数，是一个”工具”。 211 个函数，是一个”框架”。

工具只能做开发者预设好的事情。 框架可以按需加载不同的功能模块——今天装一个键盘记录插件，明天换一个屏幕录制插件，后天加一个文件窃取插件。

这不是一个人在写代码。这是一个团队在做产品。

趋势三：开发团队走向”正规化”

在向日葵变种的加载器中，PDB 路径泄露了一个关键信息：

D:\Landun\workspace\CommonComponent\ACE-Setup\1.compile_source\output\x64\ACE_Pub\ACE-Setup64.pdb

这条路径包含的信息量巨大：

• Landun
  
  （蓝盾）—— 疑似开发团队或项目代号
• workspace
  
   —— 标准的工作空间目录
• CommonComponent
  
   —— 公共组件库（意味着多个项目共享代码）
• ACE-Setup
  
   —— 项目名称
• compile_source/output
  
   —— 规范的编译流程

这是一个典型的企业级软件开发目录结构。

不是某个黑客在自己电脑上随便写的脚本。 是一个有组织、有规范、有代码复用的开发体系。

它甚至有”公共组件库”——CommonComponent。这说明银狐的开发者在多个恶意软件项目之间共享代码，就像正规软件公司在不同产品之间共享底层库一样。

在 Chrome 变种中，我们又发现了新的代号：Androws 和 XiaobaoService。

银狐背后，是一个按企业模式运作的黑产开发团队。

趋势四：反检测能力在持续加强

三个变种都展现出了成熟且一致的反检测技术体系：

注意一个关键细节：所有IDAT块的CRC均被重新计算为合法值。

这意味着银狐的PNG隐写图片可以通过所有标准的PNG格式校验工具。你用图片查看器打开它，看到的就是一张正常的800×600的图片。但在图片数据后面，藏着 14MB 以上的加密恶意载荷。

传统的文件扫描引擎对此几乎无能为力。

趋势五：投递渠道在”多点开花”

银狐不依赖单一的传播渠道。它在多个渠道同时发力：

银狐的投递渠道矩阵：┌─────────────────────────────────────────────────────┐│                                                     ││  📱 即时通讯（微信群/QQ群）                          ││     → 绕过企业邮件安全网关                           ││     → 利用群内信任关系传播                           ││     → "同事发的，应该没问题吧"                       ││                                                     ││  🔍 搜索引擎投毒（Bing/百度SEO）                          ││     → 搜索"WPS下载""向日葵下载""Chrome离线安装包"    ││     → 钓鱼站排在搜索结果前列                         ││     → 用户主动搜索+主动下载，防不胜防                ││                                                     ││  🌐 钓鱼网站                                        ││     → 仿冒官方下载页面                               ││     → 域名精心伪装                                   ││     → 页面高度仿真                                   ││                                                     ││  📧 钓鱼邮件/短信                                   ││     → 伪装税务局/银行/政府机构通知                    ││     → 制造紧迫感引导下载                             ││                                                     │└─────────────────────────────────────────────────────┘

多渠道同时投递 + 多种软件同时伪装 = 难以通过封堵单一渠道来防范。

技术共性：三个变种的”家族DNA”

尽管三个变种在伪装对象和部分技术细节上有差异，但它们共享一套稳定的核心架构。这些共性特征就是银狐家族的”DNA”，也是我们做检测的关键锚点。

不变的架构模式：三文件套娃

所有变种都遵循同一个基本架构：📁 伪装安装包（MSI / Inno Setup / 自解压）├── 合法安装程序（诱饵，有数字签名）└── 恶意组件包    ├── 加载器.exe   ← 第一层：启动入口    ├── 解密DLL      ← 第二层：核心逻辑    └── PNG隐写文件  ← 第三层：加密载荷

不管外面的”壳”怎么换，里面的”核”是同一套体系。

不变的隐写技术：PNG IDAT块填充

三个变种都使用了完全相同的PNG隐写手法：

PNG文件结构：正常PNG：┌────────────────────────────────────┐│ PNG Header                         ││ IHDR (图像信息)                     ││ IDAT #1~N (图像像素数据，~40KB)     ││ IEND (结束标记)                     │└────────────────────────────────────┘银狐的PNG：┌────────────────────────────────────┐│ PNG Header                         ││ IHDR (图像信息)                     ││ IDAT #1 (真实图像数据，~43KB)       │ ← 正常图片│ IDAT #2~1827 (加密恶意载荷)         │ ← 14MB+ 恶意代码！│ IEND (结束标记)                     │└────────────────────────────────────┘

一张800×600的PNG图片，正常情况下也就几十KB到几百KB。

银狐的PNG图片是 14MB以上。

如果你看到一个PNG文件超过10MB，但图片分辨率只有800×600，那几乎可以确认：里面藏了东西。

这是一条非常有效的检测规则。

检测策略：怎么防一个”正在进化的对手”

既然银狐在不断进化，我们的检测策略就不能只追着具体的变种跑。要抓住它不变的DNA特征来建立检测体系。

文件层面的检测要点

行为层面的检测要点

实战YARA规则（可直接使用）

规则1：检测银狐特征PDB路径

rule SilverFox_PDB_Indicator {    meta:        description = "Detects Silver Fox samples via PDB path keywords"        author = "FoxHunter@EDR实战派"        date = "2026-03"    strings:        $pdb1 = "ACE-Setup" ascii wide        $pdb2 = "Landun" ascii wide        $pdb3 = "Androws" ascii wide        $pdb4 = "XiaobaoService" ascii wide        $pdb5 = "secinit.pdb" ascii wide        $pdb6 = "CommonComponent" ascii wide    condition:        uint16(0) == 0x5a4d and        any of them}

规则2：检测高熵值.text节（代码整节加密）

rule SilverFox_HighEntropy_Text {    meta:        description = "Detects PE with fully encrypted .text section"        author = "FoxHunter@EDR实战派"    condition:        uint16(0) == 0x5a4d and        pe.sections[0].name == ".text" and        math.entropy(0, pe.sections[0].raw_data_size) > 7.8}

规则3：检测极简导入表的可疑DLL

rule SilverFox_MinimalImports_DLL {    meta:        description = "Detects DLL with suspiciously minimal imports"        author = "FoxHunter@EDR实战派"    condition:        uint16(0) == 0x5a4d and        pe.characteristics & pe.DLL and        pe.imports("KERNEL32.dll", "LocalAlloc") and        pe.imports("KERNEL32.dll", "LocalFree") and        pe.number_of_imports <= 3}

规则4：检测银狐PNG隐写文件

rule SilverFox_PNG_Steganography {    meta:        description = "Detects Silver Fox PNG steganography"        author = "FoxHunter@EDR实战派"    condition:        uint32(0) == 0x474e5089 and  // PNG magic        filesize > 10000000 and       // > 10MB        math.entropy(0, filesize) > 7.8}

ATT&CK 映射全景

结论：你面对的不是一个”木马”，而是一条”产业链”

分析完三个变种，我对银狐的判断是：

它不是传统意义上的”某个黑客写了一个远控木马”。

它是一个完整的攻击产业链：

┌──────────────────────────────────────────────────┐│                                                  ││  上游：开发团队（"Landun"/蓝盾、"Androws"）       ││  ├── 模块化恶意软件框架研发                      ││  ├── 公共组件库维护（CommonComponent）            ││  ├── 持续的免杀/反检测对抗                       ││  └── 插件化架构支撑多种攻击场景                   ││                                                  ││  中游：运营团队                                   ││  ├── 钓鱼网站搭建和维护                          ││  ├── 搜索引擎SEO投毒                             ││  ├── 微信/QQ群社工传播                           ││  ├── 多种软件伪装包的定期更新                     ││  └── 投递渠道的持续扩展                          ││                                                  ││  下游：变现团队                                   ││  ├── 远程控制受害终端                             ││  ├── 键盘记录/屏幕监控                           ││  ├── 网银/支付系统凭据窃取                       ││  └── 资金盗取和洗钱                              ││                                                  │└──────────────────────────────────────────────────┘

这条产业链的每一环都在”专业化”和”规模化”：

• 开发环节在做架构升级（插件化、模块化）
• 投递环节在做渠道扩张（从微信群到SEO到多种伪装）
• 伪装环节在做目标扩展（从财务到运维到所有人）

对抗银狐，需要的不是一条YARA规则，而是一套持续运营的检测体系。

这也是「EDR实战派」会持续追踪银狐的原因——银狐在进化，我们的检测能力也必须跟着进化。

完整IoC汇总

文件扩展名识别

PDB路径特征

D:\Landun\workspace\CommonComponent\ACE-Setup\...E:\workplace\Androws\...\XiaobaoService.pdbsecinit.pdb

命名事件

Global\SC_AutoStartComplete\SAM_SERVICE_STARTED

注册表持久化路径

HKLM\SYSTEM\Setup\CmdLineHKLM\SYSTEM\Setup\Upgrade

通用检测特征

下一步：我们会持续追踪

银狐在进化，我们也不会停下来。

后续计划：

• 🔍 新变种持续追踪：捕获新的银狐变种第一时间分析
• 🛡️ EDR检测方案：从分析结论转化为可落地的检测规则
• 🎯 攻击面监控：追踪银狐下一个伪装目标
• 📊 开发代号追踪：围绕”Landun”/”ACE-Setup”/”Androws”/”XiaobaoService”关联更多样本

关注「EDR实战派」，跟着 FoxHunter 一起追踪银狐的每一步进化。

💬 今日互动：

你在实战中遇到过银狐吗？是通过什么渠道传播的？伪装成什么软件？

欢迎在评论区分享你的经历，好的案例我会整理进后续分析中。

EDR实战派 | 专注终端安全与威胁检测的技术实战号

🛡️ 终端安全 · EDR · 威胁检测 · 安全运营