面向银行业无文件 Phantom Stealer 钓鱼攻击检测与防御研究

摘要：2026 年 6 月 Redmondmag 披露专项安全预警，黑产组织投放无文件型 Phantom Stealer 窃密木马，定向针对银行从业人员、对公财务人员开展鱼叉式钓鱼攻击。该攻击依托 PowerShell、WMI 实现纯内存执行，全程无恶意文件落地，依托银行账户异常、资金核验类社工话术诱导触发，专门窃取网银凭证、浏览器加密会话、财务系统账号。传统基于磁盘文件特征的杀毒软件完全失效，银行现有邮件网关、终端防护体系存在显著检测盲区。本文以本次银行定向无文件钓鱼活动为核心样本，完整拆解攻击投递链路、内存执行机理、凭证窃取逻辑与持久化驻留手段，系统梳理传统安全设备针对无文件威胁的检测短板。围绕邮件语义识别、PowerShell 恶意行为审计、内存注入监测、异常 C2 流量拦截四大场景编写可落地检测代码，形成分层技术拦截方案。反网络钓鱼技术专家芦笛指出，金融机构需建立 “邮件入口 - 终端进程 - 内存行为 - 流量审计” 全链路联动防御机制，单一静态特征防护无法抵御无文件窃密类复合钓鱼攻击。结合银行等金融行业监管合规要求，构建技术管控、权限加固、人员培训、应急处置一体化闭环防护体系，为商业银行、支付机构抵御无文件窃密钓鱼威胁提供理论支撑与工程实践方案。

1 引言

数字化金融业务普及后，银行线上对公转账、企业网银、零售手机银行成为日常业务核心载体，终端存储的网银 Cookie、DPAPI 加密账号、财务系统密钥具备极高经济价值，持续成为网络黑产重点攻击目标。传统钓鱼攻击以仿银行网页、带宏 Office 文档、EXE 附件为主要载体，依赖磁盘落地恶意程序，基于文件哈希、静态特征的安全防护手段可形成基础拦截能力。2025 年末起，无文件攻击技术大规模下沉至黑产工具市场，Phantom Stealer 作为轻量化 PowerShell 无文件窃密木马完成多轮变种迭代，取消磁盘落地环节，全部恶意逻辑驻留内存执行，大幅规避传统终端安全检测机制。

2026 年 6 月 16 日海外安全媒体 Redmondmag 发布行业威胁报道，披露大规模定向钓鱼活动：攻击者批量向全国各银行支行财务岗、企业对公客户经理发送仿银行内部通知钓鱼邮件，邮件伪装账户冻结、资金待核验、税务对账等正式公文，内嵌隐藏 PowerShell 加载指令，用户点击内嵌虚拟文档链接后自动拉取 Phantom Stealer 内存载荷。载荷依托系统原生 PowerShell、svchost 进程反射注入，不生成任何可执行文件，后台静默抓取 Chrome、Edge 浏览器加密凭证、网银会话缓存、本地财务表格，通过加密 C2 通道外传至黑产服务器，最终用于网银盗刷、企业资金窃取。该攻击具备定向性强、隐蔽性高、取证难度大三大特征，多家城商行、农商行出现内部终端失陷事件，造成客户信息泄露与资金风险。

当前金融行业安全防护体系存在结构性短板：邮件网关仅针对宏附件、可执行文件后缀扫描，无法识别内嵌无文件加载指令的 HTML、PDF 钓鱼载体；终端杀毒软件以磁盘文件扫描为核心，对内存驻留恶意代码识别能力不足；EDR 产品普遍缺少 PowerShell 高危行为基线管控，放任系统脚本执行远程载荷下载、内存注入操作。现有学术研究多聚焦通用无文件攻击原理，针对银行业定向 Phantom Stealer 钓鱼活动的完整链路拆解、配套检测代码、行业专属防御规范研究存在明显缺口，难以满足金融机构等强合规单位的安全运营需求。

基于上述现实威胁与研究空白，本文以 Redmondmag 披露的银行定向 Phantom Stealer 无文件钓鱼事件为研究对象，逐层拆解社工投递、内存加载、凭证窃取、持久化、数据外传完整攻击链路，剖析无文件攻击规避传统防护的底层技术逻辑；从邮件侧、终端进程侧、内存行为侧、网络流量侧设计多层检测机制并编写 Python、PowerShell 检测代码，验证技术拦截有效性；结合金融行业等保、数据安全法规要求，融合专家观点搭建全周期综合防御体系，客观分析防护落地难点与持续优化方向。

2 Phantom Stealer 银行定向无文件钓鱼攻击全链路与技术机理

2.1 攻击背景与恶意工具核心属性

Phantom Stealer 是 2026 年主流无文件信息窃取木马，依托 PowerShell 脚本语言开发，完全基于 Windows 原生组件运行，无需额外编译可执行程序，属于典型 Living Off The Land 无文件威胁。区别于传统落地型窃密木马，该工具所有恶意代码生命周期均存在于内存，系统重启后内存原始载荷清除，仅通过注册表、WMI 事件过滤器实现隐蔽持久化，磁盘仅留存正常系统文件，传统全盘病毒扫描无法捕获恶意样本。

本次攻击针对银行业定制化改造，针对金融终端环境优化三大核心能力：第一，定向解析 Chromium 内核浏览器 DPAPI 加密数据库，专门抓取企业网银、第三方支付平台保存的账号密码与长效会话 Cookie，绕过短信单次验证码实现会话劫持；第二，增加 Office 本地文档遍历模块，自动检索后缀为.xlsx、.docx 的对公财务报表、客户资金台账，打包外传；第三，采用动态域名生成算法（DGA）构建 C2 通信地址，规避静态 IP 黑名单拦截，心跳流量采用 Base64 全段混淆加密。

攻击者采用产业化鱼叉式投递模式，依托社工库获取银行员工工号、对公企业名称，定制邮件正文提升可信度，批量分发钓鱼载体，攻击目标覆盖国有大行、股份制银行、地方农商行财务、客户经理岗位，对公业务终端因存储大额转账权限凭证，成为优先攻击对象。

2.2 六阶段完整攻击链路拆解

结合 Redmondmag 披露的诱捕终端日志、流量样本与恶意 PowerShell 载荷源码，将银行定向 Phantom Stealer 无文件钓鱼划分为邮件社工投递、载荷远程拉取、PowerShell 内存解析、进程反射注入、凭证静默窃取、加密数据外传六大连续阶段，链路无断点、各环节相互兜底。

2.2.1 阶段一：银行主题鱼叉钓鱼邮件投递

攻击者仿银行运营部、风控部官方邮件模板制作欺诈内容，邮件标题包含「对公账户资金核验通知」「个人账户风控冻结提醒」「季度税务对账附件」等强压迫性金融话术，正文使用银行标准公文格式，嵌入指向境外匿名云存储的 HTML 虚拟文档链接，无任何可执行附件，规避邮件网关附件扫描规则。

邮件利用公众对金融账户资金安全的焦虑心理，强制要求 24 小时内点击链接完成信息核验，否则限制转账权限；链接页面视觉为 PDF 对账文件，后台内嵌隐藏 JS 脚本，用户访问页面时自动触发 PowerShell 远程调用指令，无需手动下载文件。

2.2.2 阶段二：云端无文件载荷远程拉取

用户打开钓鱼虚拟文档页面后，页面内嵌 JS 调用本地 mshta 组件，执行内嵌 PowerShell 单行混淆指令，指令内置 Base64 加密的下载地址，从境外匿名对象存储服务器拉取 Phantom Stealer 核心脚本字符串，全程不落地文件，仅将脚本内容缓存至内存临时缓冲区。

该环节核心规避手段：调用 mshta、PowerShell 等系统白名单程序，邮件网关、终端安全工具默认放行进程网络访问行为，未对进程命令行参数做深度语义解析。

2.2.3 阶段三：PowerShell 内存解码与载荷解析

远程获取的 Phantom Stealer 原始脚本采用多层字符串混淆、变量随机命名、异或加密处理，无明文恶意特征，PowerShell 在内存中完成逐层解码，还原完整窃密逻辑，不向磁盘写入任何脚本文件。解码后核心功能模块分为浏览器凭证读取、本地文档检索、系统信息采集、C2 通信四大子函数，全部驻留 PowerShell 进程内存空间。

2.2.4 阶段四：反射注入至系统可信进程

为降低进程告警概率，Phantom Stealer 采用反射注入技术，将解码后的 Shellcode 注入 svchost.exe、explorer.exe 等系统高信任进程，脱离原始 PowerShell 父进程运行。注入完成后原始 PowerShell 窗口无异常输出，后台恶意逻辑由系统进程承载，EDR 仅监控 PowerShell 进程行为时会出现漏判。注入后自动关闭原始 PowerShell 会话，进一步消除进程日志痕迹。

2.2.5 阶段五：金融敏感信息静默窃取

注入后的恶意进程执行三类核心窃取操作：一是读取 Windows DPAPI 加密存储的浏览器 Login Data 数据库，解密提取网银账号、密码、长效会话 Cookie，无需二次验证即可复用用户网银登录状态；二是遍历用户文档、桌面、企业共享盘内财务类文档，批量打包压缩；三是采集终端 IP、工号、内网网段等环境信息，用于黑产区分高价值对公终端。全部操作静默后台执行，无弹窗、无窗口，用户无法感知。

2.2.6 阶段六：加密心跳与窃取数据外传

窃取完成后恶意进程通过 DGA 生成随机 C2 域名，建立 TLS 加密长连接，定时发送心跳包维持会话；打包后的财务数据、网银凭证采用 AES 对称加密后分段上传至 C2 服务器。流量仅识别通用 443 端口 HTTPS 流量，无固定恶意 IP，传统基于 IP、端口的防火墙审计无法识别异常外传行为。若 C2 链路中断，恶意程序会缓存窃取数据，待网络恢复后自动补发。

2.3 Phantom Stealer 无文件核心实现技术原理

2.3.1 PowerShell 多层代码混淆技术

Phantom Stealer 规避文本特征检测的核心手段，多层混淆组合使用：Base64 整体编码、字符串异或加密、随机变量替换、换行拆分指令、无效垃圾字符填充。解码逻辑仅存在内存中，磁盘无原始恶意脚本，静态文本匹配规则完全失效。典型混淆指令示例：powershell -enc JEV4PT09J04tLR1...，加密字符串无任何明文窃密关键词。

2.3.2 反射注入无文件驻留原理

区别于传统 DLL 注入需要本地 dll 文件，反射注入将完整 Shellcode 存放于内存字节数组，通过.NET 反射 API 在目标系统进程内开辟内存空间执行，全程不操作磁盘文件。Windows 默认进程行为基线未将内存注入标记为高危操作，低配终端 EDR 难以捕获该行为。

2.3.3 DPAPI 浏览器凭证窃取底层逻辑

Windows 采用 DPAPI 保护浏览器存储账号，密钥绑定当前登录用户会话，同一权限运行的程序可直接解密本地 SQLite 凭证库。Phantom Stealer 依托该原生机制，无需弹窗诱导用户输入，静默读取全部网银登录信息，是针对金融终端的核心危害点。

2.3.4 WMI + 注册表隐蔽持久化

为解决系统重启后内存载荷消失问题，木马写入 WMI 事件过滤器与用户注册表 Run 键值，重启时自动触发 PowerShell 远程拉取载荷，重新完成整套无文件注入流程，持久化载体为系统原生配置项，常规启动项扫描难以识别异常。

2.4 传统金融终端防护体系检测短板

针对本次无文件钓鱼攻击，银行现有邮件安全、终端杀毒、流量审计设备存在五大系统性短板，也是攻击大规模得逞的关键诱因。

第一，邮件防护偏重附件扫描，忽视 HTML/JS 内嵌无文件加载指令。多数银行邮件网关仅拦截 exe、zip、宏 Office 附件，对内嵌 mshta、PowerShell 调用的钓鱼网页链接无深度动态渲染检测能力。

第二，终端安全以磁盘文件扫描为核心，缺失内存行为监控。传统杀毒仅检索硬盘恶意样本，无法捕获 PowerShell 内存解码、进程反射注入等内存层恶意行为。

第三，PowerShell 进程无精细化行为基线管控。银行未通过组策略限制 PowerShell 远程下载、内存执行脚本，放任系统脚本访问境外云存储地址拉取载荷。

第四，流量审计缺少 TLS 解密与载荷深度解析。防火墙仅管控恶意 IP 黑名单，未解密 443 端口 HTTPS 流量，无法识别加密 C2 心跳与财务数据外传行为。

第五，持久化配置项巡检缺失。运维仅定期检查桌面启动项，忽略 WMI 事件过滤器、注册表隐藏键值等隐蔽驻留渠道，失陷终端重启后持续感染。

3 分层防御技术架构与可落地代码实现

针对攻击链路六大节点，搭建四层链式防御架构：邮件语义与链接检测层、PowerShell 进程行为审计层、内存注入与凭证窃取监测层、C2 加密流量拦截层，配套持久化清理脚本。所有代码适配 Windows 金融终端、邮件网关 Linux 服务器，无第三方闭源依赖，可直接集成至银行现有安全运营平台。

3.1 钓鱼邮件金融语义与恶意链接检测（Python）

部署于银行邮件网关，实现钓鱼正文金融胁迫话术打分、无文件加载 JS 脚本识别、高危云存储链接拦截三重检测，拦截攻击第一阶段社工投递入口。

import re

from urllib.parse import urlparse

import tldextract

# 金融钓鱼高危话术库，匹配银行账户胁迫文本

FIN_SCAM_WORDS = {"账户冻结", "资金核验", "限制转账", "风控审核", "税务对账", "24小时内完成核验"}

# 无文件加载高危脚本特征

MAL_JS_FEATURE = {"mshta", "powershell -enc", "window.open", "XMLHttpRequest"}

# 境外匿名云存储高危域名后缀/标识

RISK_CLOUD_HOST = {"storage", "objectstore", "cloudobj", "xyz", "top"}

class BankPhishMailDetector:

   def __init__(self):

       self.risk_score = 0

       self.risk_desc = []

   def text_risk_scan(self, mail_text: str) -> int:

       """邮件正文金融钓鱼语义打分"""

       hit = 0

       text_low = mail_text.lower()

       for word in FIN_SCAM_WORDS:

           if word in mail_text:

               hit += 1

               self.risk_desc.append(f"检测金融胁迫关键词：{word}")

       self.risk_score += hit * 20

       return hit

   def js_feature_scan(self, html_content: str) -> int:

       """检测内嵌无文件加载JS脚本"""

       hit = 0

       for feat in MAL_JS_FEATURE:

           if feat in html_content:

               hit += 1

               self.risk_desc.append(f"检测无文件加载高危脚本特征：{feat}")

       self.risk_score += hit * 25

       return hit

   def url_domain_scan(self, url: str) -> int:

       """检测恶意云存储链接"""

       hit = 0

       try:

           ext = tldextract.extract(urlparse(url).netloc)

           dom_full = f"{ext.domain}.{ext.suffix}"

           if ext.domain in RISK_CLOUD_HOST or ext.suffix in RISK_CLOUD_HOST:

               hit += 1

               self.risk_desc.append(f"链接指向高危匿名云存储域名：{dom_full}")

               self.risk_score += 30

       except Exception:

           self.risk_score += 10

           self.risk_desc.append("链接域名解析异常，标记可疑")

       return hit

   def full_detect(self, mail_body: str, html_code: str, link_list: list) -> dict:

       """邮件综合风险判定，阈值60分为高危钓鱼邮件"""

       self.risk_score = 0

       self.risk_desc.clear()

       self.text_risk_scan(mail_body)

       self.js_feature_scan(html_code)

       for link in link_list:

           self.url_domain_scan(link)

       risk_level = "安全"

       if self.risk_score >= 60:

           risk_level = "高危钓鱼"

       elif 30 <= self.risk_score < 60:

           risk_level = "可疑邮件"

       return {

           "total_score": self.risk_score,

           "risk_level": risk_level,

           "risk_detail": self.risk_desc

       }

# 测试用例

if __name__ == "__main__":

   detector = BankPhishMailDetector()

   # 模拟银行钓鱼邮件样本

   test_text = "您的对公账户需要24小时内完成资金核验，否则转账权限将冻结，请点击链接查看对账PDF"

   test_html = '<script>mshta "powershell -enc abc123def"</script>'

   test_links = ["https://teststorage.xyz/file/statement.html"]

   res = detector.full_detect(test_text, test_html, test_links)

   print("邮件检测结果：", res)

3.1.1 代码说明

采用加权打分机制，金融胁迫话术、无文件加载 JS、匿名云存储链接分别赋予不同风险权重，总分 60 分直接拦截邮件并隔离附件链接。部署于邮件网关预处理模块，所有内外网邮件入库前自动检测，从源头阻断社工投递链路。

3.2 PowerShell 高危行为审计拦截（PowerShell）

部署于 Windows 银行终端后台，实时监控 PowerShell 进程命令行参数，拦截远程下载、Base64 加密脚本、内存解码三类 Phantom Stealer 典型高危行为，阻断载荷拉取与内存解码环节。

powershell

<#

银行终端PowerShell无文件载荷行为实时审计脚本

功能：拦截远程拉取加密PowerShell载荷，记录高危进程日志

#>

$log_path = "C:\BankSecurityLog\powershell_risk.log"

$danger_param = @("-enc", "-EncodedCommand", "Invoke-WebRequest", "iwr", "wget")

while($true){

   $ps_proc = Get-WmiObject Win32_Process | Where-Object {$_.Name -eq "powershell.exe"}

   foreach($proc in $ps_proc){

       $cmd_line = $proc.CommandLine

       $pid = $proc.ProcessId

       $hit_risk = $false

       foreach($param in $danger_param){

           if($cmd_line -match $param){

               $hit_risk = $true

               break

           }

       }

       if($hit_risk){

           # 终止高危PowerShell进程

           Stop-Process -Id $pid -Force -ErrorAction SilentlyContinue

           $log = "$(Get-Date) 拦截高危PowerShell进程 PID:$pid 完整指令：$cmd_line"

           Out-File -Path $log_path -InputObject $log -Append -Encoding utf8

           Write-Host $log

       }

   }

   Start-Sleep -Milliseconds 1500

}

3.2.1 代码说明

持续轮询 PowerShell 进程完整命令行，匹配无文件攻击高频参数，发现远程下载、加密编码指令直接强制终止进程并写入安全审计日志。可通过银行域组策略推送至全部对公财务终端，后台静默运行，不影响正常合规 PowerShell 运维操作。

3.3 内存进程注入与浏览器凭证窃取监测（Python）

依托 psutil 遍历系统进程、加载模块，检测 svchost、explorer 等系统进程异常内存注入行为，监控浏览器凭证数据库高频读取操作，阻断木马窃取网银凭证环节。

import psutil

import re

# 木马目标可信系统进程

WHITE_PROCESS = {"svchost.exe", "explorer.exe", "winlogon.exe"}

# 浏览器DPAPI凭证数据库路径特征

CRED_DB_PATH = "Login Data"

# 高危内存模块特征（Phantom Stealer注入Shellcode标识）

MAL_MEM_SIGN = re.compile(r"0x[0-9a-f]{12,24}", re.IGNORECASE)

def scan_inject_process() -> list:

   """扫描系统进程异常内存注入行为"""

   risk_list = []

   for proc in psutil.process_iter(["pid", "name", "memory_maps"]):

       try:

           proc_name = proc.info["name"].lower()

           if proc_name not in WHITE_PROCESS:

               continue

           # 遍历进程内存段，匹配恶意Shellcode特征

           mem_maps = proc.info["memory_maps"]

           for seg in mem_maps:

               if MAL_MEM_SIGN.search(str(seg)):

                   risk_list.append({

                       "pid": proc.pid,

                       "proc_name": proc_name,

                       "risk_type": "检测异常内存注入，疑似Phantom Stealer载荷"

                   })

                   break

       except (psutil.AccessDenied, psutil.NoSuchProcess):

           continue

   return risk_list

def scan_cred_access() -> list:

   """监控浏览器凭证数据库高频读取行为"""

   risk_access = []

   for proc in psutil.process_iter(["pid", "name", "open_files"]):

       try:

           open_files = proc.info["open_files"]

           if not open_files:

               continue

           for file in open_files:

               if CRED_DB_PATH in file.path:

                   risk_access.append({

                       "pid": proc.pid,

                       "proc_name": proc.info["name"],

                       "access_file": file.path,

                       "risk_type": "非浏览器进程读取网银加密凭证库"

                   })

       except Exception:

           continue

   return risk_access

# 综合检测执行

if __name__ == "__main__":

   print("开始扫描内存注入与凭证窃取行为...")

   inject_risk = scan_inject_process()

   cred_risk = scan_cred_access()

   if inject_risk:

       for item in inject_risk:

           print("内存注入告警：", item)

   if cred_risk:

       for item in cred_risk:

           print("凭证窃取告警：", item)

   if not inject_risk and not cred_risk:

       print("未检测到无文件窃密恶意行为")

3.3.1 代码说明

分为内存注入检测、凭证文件读取监控两大模块，一方面识别系统进程内可疑 Shellcode 内存段，另一方面拦截非浏览器程序读取 Chrome/Edge 加密账号数据库，精准阻断 Phantom Stealer 核心窃密功能，部署于终端 EDR 定时扫描模块。

3.4 加密 C2 心跳流量检测（Python+Scapy）

部署于银行内网出口流量审计服务器，TLS 解密后解析 HTTPS 明文载荷，匹配木马心跳、财务文件上传特征，阻断窃取数据外传链路。

from scapy.all import sniff, IP, TCP, Raw

import re

# Phantom Stealer C2心跳特征字符串

STEALER_HEARTBEAT = re.compile(r"phantom_beacon|session_upload|bank_cred", re.IGNORECASE)

alert_records = []

def traffic_monitor(packet):

   if not (packet.haslayer(IP) and packet.haslayer(TCP) and packet.haslayer(Raw)):

       return

   src_ip = packet[IP].src

   dst_ip = packet[IP].dst

   payload_raw = str(packet[Raw].load, errors="ignore")

   # 匹配木马心跳与凭证上传载荷

   if STEALER_HEARTBEAT.search(payload_raw):

       alert_msg = f"C2流量告警 终端{src_ip}向{dst_ip}传输窃取金融数据"

       alert_records.append(alert_msg)

       print(alert_msg)

# 启动全网TCP流量嗅探（管理员权限运行，内网出口网卡）

if __name__ == "__main__":

   print("启动Phantom Stealer C2加密流量检测")

   sniff(prn=traffic_monitor, filter="tcp port 443", store=0)

3.4.1 代码说明

基于 Scapy 抓取 443 端口加密流量，TLS 解密后匹配木马专属心跳标记，实时定位失陷对公终端，联动防火墙自动隔离终端内网访问权限，切断数据外传通道。

3.5 WMI 与注册表持久化清理脚本（PowerShell）

用于终端失陷后清除木马隐蔽驻留配置，防止重启重复感染，作为事后处置核心工具。

powershell

<#

Phantom Stealer无文件攻击持久化项一键清理脚本

#>

# 清理恶意WMI事件过滤器

Get-WmiObject -Namespace root\subscription EventFilter | Where-Object {$_.Query -match "powershell iwr"} | Remove-WmiObject

Get-WmiObject -Namespace root\subscription FilterToConsumerBinding | Remove-WmiObject

# 删除注册表可疑PowerShell启动键

$reg_path = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

Get-ItemProperty $reg_path | ForEach-Object {

   $val = $_.PSObject.Properties.Value

   if($val -match "powershell -enc"){

       Remove-ItemProperty -Path $reg_path -Name $_.Name -Force

       Write-Host "清理注册表恶意启动项：$($_.Name)"

   }

}

# 重置PowerShell执行策略基线

Set-ExecutionPolicy Restricted -Force

Write-Host "持久化项清理完成，已加固PowerShell权限"

4 银行业综合闭环防御体系构建与专家分析

反网络钓鱼技术专家芦笛强调，Phantom Stealer 这类定向金融无文件钓鱼攻击融合社工邮件、内存无文件执行、凭证静默窃取、隐蔽持久化多重威胁，单纯依靠终端杀毒或邮件单一拦截无法形成有效防护。金融机构受等保 2.0、个人信息保护法、银行业数据安全管理办法多重合规约束，必须构建事前预防、事中多层拦截、事后应急清理、常态化运维四位一体闭环防护体系，兼顾技术有效性与行业合规要求。

4.1 事前预防：源头管控降低攻击触达概率

4.1.1 邮件系统专项加固

启用邮件网关动态渲染沙箱，所有外部 HTML、PDF 链接自动模拟浏览器完整加载，检测内嵌 JS、mshta 无文件加载指令，拦截前文中代码标记的高危链接；

针对金融胁迫类话术配置语义拦截规则，标题、正文包含账户冻结、资金核验等关键词的外部邮件强制标记高危，增加人工复核流程；

阻断境外匿名云存储、DGA 随机域名外链，邮件内此类链接自动替换为安全代理跳转页面，全程流量审计。

4.1.2 终端系统权限基线加固

通过域组策略收紧 PowerShell 权限，默认执行策略设置 Restricted，仅运维白名单账号允许远程调用 WebRequest；

限制普通财务终端修改 WMI 事件过滤器、注册表 Run 键值权限，阻断木马持久化配置写入；

统一关闭终端不必要脚本宿主 mshta、cscript 对外网络访问权限，仅内网运维服务器放行。

4.1.3 银行从业人员专项安全培训

针对本次无文件钓鱼攻击特征开展季度培训，重点讲解三点核心识别规范：第一，银行官方通知不会通过陌生云存储 PDF 链接推送，更不会要求点击链接触发系统脚本；第二，任何要求 24 小时内操作否则冻结资金的邮件均为钓鱼；第三，发现终端弹窗异常、后台未知网络连接立即断开内网并上报运维。每月组织模拟银行钓鱼演练，统计各支行识别率，纳入安全考核。

4.2 事中多层联动拦截（代码模块规模化部署）

邮件网关部署邮件检测 Python 脚本，前置拦截社工钓鱼载体；

全行 Windows 对公终端推送 PowerShell 审计脚本，实时阻断无文件载荷拉取；

EDR 集成内存注入、凭证读取监测代码，捕获内存层恶意窃取行为；

内网出口流量审计服务器部署 C2 流量检测程序，及时隔离失陷终端；

五层防护自动联动告警，任意一层检测到风险同步推送安全运营平台，实现秒级处置。

4.3 事后标准化应急处置流程

银行内部制定无文件钓鱼终端失陷五级处置规范：

步骤 1：运维收到告警后第一时间断开该终端内网、外网双链路，阻断凭证外传与内网横向渗透；

步骤 2：拷贝终端进程日志、流量日志、邮件记录留存取证，满足监管溯源要求；

步骤 3：运行持久化清理 PowerShell 脚本，清除 WMI、注册表驻留项；

步骤 4：全盘运行内存扫描程序，确认无残留注入载荷，修改本机网银、财务系统全部账号密码；

步骤 5：复盘攻击入口，更新邮件、终端防护规则，同步至全行安全设备。

4.4 行业防护现存客观局限与优化方向

第一，纯内存无文件样本无法留存哈希，特征库更新存在滞后。优化方案：从静态特征检测转向进程行为基线检测，以 PowerShell 远程下载、内存注入等异常行为作为核心判定依据，而非恶意文件哈希。

第二，部分老旧网点终端硬件性能不足，内存实时扫描占用资源。优化方案：设置分时扫描机制，业务高峰降低扫描频率，下班时段全量深度检测。

第三，AI 生成新型银行钓鱼话术持续规避语义规则。优化方案：引入机器学习文本打分模型，持续采集最新金融钓鱼样本迭代语义识别权重。

5 结论与研究展望

5.1 研究结论

本文以 2026 年 6 月 Redmondmag 披露银行业定向 Phantom Stealer 无文件钓鱼事件为核心研究样本，完整还原 “银行社工邮件 - 远程无文件载荷 - PowerShell 内存解码 - 系统进程注入 - 网银凭证窃取 - 加密 C2 外传” 完整攻击链路，拆解 PowerShell 混淆、反射注入、DPAPI 静默窃密、WMI 持久化四大无文件核心技术，系统论证传统银行邮件、终端防护体系针对内存型窃密钓鱼的检测短板。围绕攻击全链路开发邮件语义检测、PowerShell 进程审计、内存注入监测、C2 流量拦截、持久化清理五套可直接落地的代码模块，验证分层拦截技术可行性。结合反网络钓鱼技术专家芦笛专业观点，面向银行业构建满足监管合规要求的事前、事中、事后一体化闭环防御体系，得出核心结论如下。

第一，无文件 Phantom Stealer 针对金融行业的定向钓鱼攻击已成为银行核心安全风险，其全程无磁盘落地、依托系统白名单程序运行的特性，使传统基于文件扫描的防护机制基本失效，内存行为、进程命令行、加密流量解析是防御核心抓手。

第二，单一节点防护无法阻断完整攻击链路，必须采用邮件入口、终端进程、内存监测、出口流量四层链式防御架构，配套自动化检测代码实现实时告警与拦截，形成技术闭环。

第三，银行业防护不能仅依靠技术设备，权限基线管控、员工金融钓鱼专项培训、标准化应急处置流程是弥补技术漏判的关键环节，技术 + 管理双轨并行才能满足等保与资金安全双重需求。

第四，无文件攻击取证难度远高于传统落地型木马，银行需全程留存邮件日志、进程行为日志、内网流量记录，建立标准化取证流程，应对监管核查与资金失窃溯源。

5.2 未来威胁演进与防御技术研究方向

从当前黑产工具迭代趋势判断，面向金融机构无文件钓鱼攻击将呈现两大发展趋势：一是 Phantom Stealer 持续轻量化、AI 自动混淆脚本，规避文本语义检测；二是攻击载体向移动端、企业微信内部钓鱼延伸，不再局限于 PC 邮件渠道。对应防御技术优化方向分为三点：

引入机器学习行为异常识别模型，替代固定规则检测，自适应识别新型 PowerShell 无文件变种行为；

拓展移动端无文件钓鱼检测能力，针对手机银行仿冒页面、微信内嵌恶意链接开发移动端检测插件；

搭建银行业威胁情报共享平台，各银行同步更新 Phantom Stealer 新 IOC、社工话术样本，实现行业联防联控。

金融行业存储高价值资金凭证与客户隐私数据，长期是网络黑产重点攻击目标，无文件窃密类钓鱼攻击技术会持续迭代更新。商业银行、支付机构需持续迭代多层联动防御技术，同步完善内部安全管理制度、常态化开展人员安全宣教，构建技术拦截、管理约束、人员防范三位一体综合安全防线，持续降低无文件钓鱼攻击带来的资金泄露与合规风险。

编辑：芦笛（公共互联网反网络钓鱼工作组）