从一次应急响应到发现银狐

文章预览

“银狐” 并不是一个单独的黑产团伙，而是一个当前在黑产圈广泛使用的、去中心化传播的黑产木马，众多黑产团伙都在尝试获取、修改、使用。 事件背景 2024 年 12 月 13 日晚 11 点左右、某客户单位员工在加班时发现其外网办公终端鼠标自动移动、并点击查看微信聊天记录。 怀疑该终端感染远控木马、随后自己尝试多个终端杀软进行自动查杀未检出。 在自己进行断网、硬盘隔离操作及一些软件卸载操作后、通知到我们的工程师。 2024 年 12 月 14 日、 周六 10 点左右。 我们工程师到达现场开始排查 排查过程 由于受控  DMZ  区终端未部署任何对外服务、且严格依据系统更新及口令复杂度要求执行。 且该单位存在近期试用员工试用后便自己离职的异常人事情况。 故一开始的调查方向倾于内部人员所引起的数据泄漏。 优先排查了  USB  使用记录及是 ………………………………