银狐木马变种难防？天擎“六合”引擎默认内存查杀

主要观点总结

文章介绍了银狐（Ghost）等通用木马框架被黑客广泛使用的现状，以及攻击者采用的各种免杀手段。文章还介绍了天擎下一代威胁检测产品“六合”高级威胁防御引擎，该引擎能够无视外层免杀技巧，直接检测内存中的恶意行为并精准告警，已发现多起境外顶级APT组织的无文件间谍活动。此外，文章还描述了一次带有合法数字签名的恶意安装包被发现并溯源的过程，以及数字签名滥用的情况。最后，文章总结了基于奇安信威胁情报中心的全线产品已经支持对此类攻击的精确检测。

关键观点总结

关键观点1: 木马框架的广泛使用和攻击者的免杀手段

文章介绍了银狐（Ghost）、WinOS、PlugX、Cobalt Strike、Sliver、Havoc 等通用木马框架被黑客广泛使用的情况，以及攻击者为了绕过检测采用的各种免杀手段。

关键观点2: 六合引擎的防御能力

文章强调了天擎“六合”高级威胁防御引擎的防御能力，能够无视外层免杀技巧，直接检测内存中的恶意行为并精准告警，已发现多起针对国内的全程无文件间谍活动。

关键观点3: 合法签名的滥用和恶意行为

文章描述了一次带有合法数字签名的恶意安装包被发现和溯源的过程，发现黑产和APT组织在木马上使用国内数字签名基本都是通过代签服务，并涉及数字签名滥用的情况。

关键观点4: 全线产品的支持和对攻击的精确检测

文章最后总结了基于奇安信威胁情报中心的全线产品已经支持对此类攻击的精确检测，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等。