银狐谍报分享｜ Att&CK视角下的最新活跃技战术分享

发布日期：2025-07-21 08:00 点击次数：80

绪言

比年来，银狐针对国内企业数据金钱及个东谈主终局的定向袭击频发。通过进行明锐信息窃取，驾御系统操作聊天应用以社工工程学为中枢开展金融诓骗行为，已成为面前严重恫吓企业/个东谈主安全的袭击团伙之一。

腾讯安全行为国内兼具云管端安全居品与恫吓谍报身手的概述性安全厂商，同期深度协同腾讯生态居品打击银狐垂钓袭击，具备中枢恫吓感知上风。现在腾讯安全在银狐基础IOC检测、行为TTPs防御、驻留项和未必侧目时刻检测及计帐等方面鸠合大都独家决策，经个东谈主与企业客户场景充分考证有用。为纠合更多安全厂商和企业安一皆门打击银狐垂钓袭击，咱们将握续分享银狐团伙的最新谍报和攻防时刻决策，共同护航产业互联网安全。

本文咱们将通过公开近期银狐袭击过程中活跃技战术TTPs（战术、时刻、设施），回归特质供业界参考。

银狐袭击过程技战术使用丰富（attck矩阵黄色秀丽），本文咱们提防对其活跃使用且顽抗热烈的技战术（attck矩阵红色）其进行回归。其中某技战术手法初度对外走漏（使用文献关联+诱导映射+PendingFileRenameOperations机制完了绕过安全软件无痕启动）。同期，咱们也发现银狐最先结合Rootkit来进一步作念更深层的系统潜藏和顽抗检测，咱们将在之后系列著作中再次同行界分享。

01银狐秉性回归

传播方式万般

以垂钓袭击、水坑袭击、第三方软件系缚传播为主。通过酬酢工程邮件、即时通讯器具充分诈欺社会工程学、阵势热门（*名单、*吃瓜、*税务、*单子等）送达坏心文献。通过仿冒正当网站（有谈、酷狗、向日葵、Telegram、Google、DeepSeek等）植入坏心软件，定向指点器具需求东谈主群下载。

袭击主张精确

针对财务、税务、东谈主事、运维等企业重要中枢东谈主员张开定向袭击，窃取中枢机密权限，长期驾御主机俟机开展金融诓骗行为。

时刻技能复杂

●白诈欺：使用正当带数字签名的法度进行白诈欺（传统DLL劫握、.net appdomain劫握、trueupdate讲授器具等），加载推行坏心模块代码；或顺利将具备远控功能的软件C2兵器化。

●内存注入：将坏心代码通过万般时刻技能（远线程、Apc、Context、PoolParty等）注入正当进度（explorer.exe、lsass.exe、wusa.exe、tracerpt.exe、regsvr32.exe、dllhost.exe等）的内存空间中运行，散失自身坏心代码。

●载荷隐写：将坏心代码散失于非可推行文献（如图文、视频、文档）或注册表中，通过特定倡导逻辑索要并推行。

●安全顽抗热烈：通过期刻技能（BYOVD、系统防火墙、汇集政策、WDAC政策、安全软件VT兼容商酌、安全软件进度大开权限管控兼容商酌）关闭或侵略安全防御软件宽泛运行，修改系统树立使其无法检测坏心行为。

●握久化立异：除通过启动目次、注册表Run、干事、规画任务等方式握久化外，还通过UserInitMprLogonScript奴婢系统启动。同期为了进一步绕过安全软件检测，立异式将启动目次进行劫握，使用文献关联+编造诱导映射+PendingFileRenameOperations机制完了绕过安全软件无痕启动，极具立异性。

版块迭代快速

通过样本增肥避让云查杀，绕过部分安全软件快速检测机制。逐日生成大都新变种，通过注册大都云设施，经常更新C2信息以避让安全厂商会剿。

02运行访谒（Initial Access：TA0001）

水坑袭击（Drive-by Compromise：T1189）

银狐主要使用MSI、EXE两种类型伪装常见的安设包应用，通过仿冒器具站SEO后，指点受害者下载推行。常见伪类应用包括PDF器具、WPS、酷狗、向日葵、浏览器、飞书等。同期银狐也通过仿冒特定应用东谈主群使用应用（编造币、TG、VPN等软件）进行精确投放，用于定向窃取编造币等金钱。

垂钓袭击（Phishing：T1566）

银狐擅长使用热门类新闻开展垂钓，通过具有蛊惑性（吃瓜、税务、薪酬、单子等）的垂钓正文内容，指点被害者下载点击（msi、exe、chm、vbs、bat）等坏心附件。

03指点推行（Execution：TA0002）

用户推行（User Execution：T1204）

整理银狐常见类伪装坏心载荷名如下。一朝受害者主动点击坏心附件，银狐后门则会在系统内开展进一步避讳顽抗，握久化驻留。随后银狐袭击团伙对被害者主机张开握久驾御，俟机实施金融窃密/诓骗过程。

04未必侧目（Defense Evasion：TA0005）

白诈欺

传统软件DLL劫握白诈欺（Hijack Execution Flow：T1574）

腾讯混元大模子时刻点讲授：

Windows系统加载法度时，需要调用动态邻接库DLL（非常于法度的“器具包”）。但系统有个“时弊”，加载DLL时，会按固定法规搜索目次，优先从法度我方的文献夹找（比如你安设的QQ目次），找不到再去系统目次（比如C:\Windows\System32）。

袭击者就钻这个空子：伪造一个和系统DLL同名/或应用法度自身需要的“假DLL”（比如lpk.dll、ws2_32.dll），放到法度的文献夹里。当法度运行时，系统会先加载这个“假DLL”，而“假DLL”里藏着木马的代码——法度认为我方在用系统器具，实践上被木马驾御了。

举例下图诈欺迅雷白模块，通过正当签名软件DLL劫握，推行最终坏心载荷。装载同目次XLFSO.dll，XLFSO.dll进一步装载mt.dll，最终装载同目次内非PE文献mi.jpg。检讨mi.jpg可知文献头为一段shellcode，进一步推行其里面Embedded PE后门。

主法度具有正当签名

经过DLL双层劫握后装载外部非PE图片mi.jpg文献

mi.jpg图片文献实质为shellcode装载器+Embedded PE的坏心后门

后门最终外联C2地址：12-18.qq-weixin.org。通过该域名不丢脸出，银狐为了避让安全厂商会剿，进一步避讳其c2通讯过程，使用到的坏心c2金钱仿冒了国内着名软件域名。宽泛情况下，普通东谈主很难发现该域名下的非常流量通讯行为。

NET白文献AppDomainManager劫握（Hijack Execution Flow：T1574）

腾讯混元大模子时刻点讲授：

.NET法度运行时，和会过AppDomainManager（应用法度域料理器）来创建和料理“应用法度域”（阻抑代码推行的沙盒）。袭击者通过改革这个“料理者”，不错让它在创建域时推行坏心逻辑。袭击者可通过修改.NET法度的树立文献或环境变量，让法度加载自界说的AppDomainManager法度集（认真料理.NET应用法度域），从而在法度启动时推行坏心代码。

如下案例，银狐诈欺Microsoft WSE（UevAppMonitor.exe）的白法度，树立其法度同目次下同模块名的config文献，树立中appDomainManagerAssembley字段。

当该法度推行时，WSE法度进一步尝试加载目次下树立的ureboot.Commands.exe法度集，ureboot.Commands.exe坏心法度集模块最终使用0xEE进行动态解密外部n180yhty.mdb文献，对其进行装载后，推行后门远控外联C2；同期坏心代码还具备坏心代码注入系统进度内完了进度看管的功能。

袭击者改革后的appDomainManager劫握信息，白诈欺文献为Microsoft WSE白法度

ureboot.Commands.exe法度集使用0xEE行为key解密坏心代码后进行二阶段坏心载荷装载

同期最终后门通过将中枢注入系统白进度（tracerpt.exe）完了进一步避讳自身主张

最终外联C2：156.152.19.180，该金钱来自境外，使用该类型金钱可进一步增多其团队溯源难度。

TrueUpdate白诈欺（System Binary Proxy Execution：T1218）

腾讯混元大模子时刻点讲授：

TrueUpdate是IndigoRose公司开发的打包安设器具，复旧通过Lua剧本自界说安设逻辑（如文献开释、注册表修改、汇集申请等）。木马（如“银狐木马”）诈欺其打包避讳性、剧本自界说身手及密码保护机制，完了对系统的避讳浸透与握久驾御。

如下图，银狐木马诈欺TrueUpdate加载外部lua剧本dat文献，进一步装载外部jpg，xml非PE中的坏心后门载荷。由于通盘坏心代码加载过程触及白文献+非PE文献。检测身手弱的安全软件将无法检测到过程中的坏心代码。

正当软件白诈欺兵器化（Remote Access Tools：T1219）

腾讯混元大模子时刻点讲授：

正当辛苦软件（比如TeamViewer/edr或上网料理类软件）自己有纷乱的辛苦驾御功能：能跨汇集勾搭、传输文献、以至驾御键盘鼠标。木马顺利我方写一套辛苦驾御功能很困难，不如“偷懒”——顺利诈欺现成的正当软件，既能绕过系统限定（比如防火墙可能默许允许这些软件联网），又能伪装成宽泛操作（用户看到是闇练的软件界面，抑制易怀疑）。

简短说，等于木马把本来用来辛苦驾御的正当软件改酿成“木马器具”，让它变成黑客的“遥控器”，悄悄驾御别东谈主的电脑。

使用IPGUARD，固信料理。由于该系列软件具备正当的辛苦驾御功能，且具备驱动级权限，银狐团伙积极将其兵器化使用。

如下图所示，伪装税务app的法度运行后，会安设名为pobus64的某终局EDR管控居品，由于该软件具备辛苦料理功能，袭击者将其兵器化作念C2器具使用。

安全顽抗

银狐推行时，为了完了在安全软件监控下握续运行，会尝试使用多种方式顽抗安全软件。包括断网/防火墙政策部署绕过安全软件云政策监控；安设VT功能软件诈欺兼容性绕安全软件主动未必；诈欺安全软件兼容商酌注入LSASS进度顽抗安全进度；通过BYOVD诈欺赢得内核权限深度顽抗；诈欺WDAC政策禁用安全软件等。主张直领受尾掉安全软件或者屏蔽掉安全软件的部分身手，达到长期驾御主机下不被查杀。

BYOVD（Exploitation for Privilege Escalation：T1068）

腾讯混元大模子时刻点讲授：

BYOVD（Bring Your Own Vulnerable Driver，自带错误驱动）是一种内核级袭击时刻，中枢逻辑是：袭击者诈欺系统中已存在的、带错误的正当驱动法度（比如系统自带或着名软件附带的驱动），通过错误赢得内核权限，绕过用户态安全软件的未必，顺利在内核层面推行坏心操作（如关闭杀毒软件、窃取数据）。

一些公开热门的BYOVD开源诈欺神气：

https://github.com/BlackSnufkin/BYOVD

https://github.com/ZeroMemoryEx/Blackout

https://github.com/Helixo32/NimBlackout

https://github.com/Hagrid29/BYOVDKit

https://github.com/BlackSnufkin/GhostDriver

如下图银狐在系统内安设存在错误的wsftprm.sys的白驱动法度，由于该内核文献存在错误，加载后可通过在应用层发送有关IOCTL完了收尾率性受内核法度保护的软件（举例安全软件）进度。银狐团伙将此类型内核模块插件化使用，可有用赢得内核权限，将顽抗战场进一步从应用层牵引到了内核态。

汇集政策顽抗（Impair Defenses：T1562）

腾讯混元大模子时刻点讲授：

木马的中枢主张是长期潜藏、不被发现、完成黑客任务。断开/限定汇集能减少“被跟踪”和“被遏抑”的风险；限定安全软件流量则让未必器具“变瞎变哑”，无法有用反击。两者结合，木马就能更避讳地驾御电脑，完了窃取数据、败坏系统等主张。

如下图银狐使用netsh诞生作假的土产货IP勾搭静态地址政策，从而导致汇集暂时中断，完了屏蔽安全软件云表检测/防御政策推行后续坏心行为。

WDAC政策蹂躏（Impair Defenses：T1562）

腾讯混元大模子时刻点讲授：

WDAC（Windows Defender Application Control，Windows Defender应用法度驾御）是微软推出的一项系统安全功能，中枢作用是驾御哪些法度能在电脑上运行。它通过“白名单”机制，只允许明确受信任的法度（如系统自带器具、企业认证软件）推行，阻塞未知或坏心软件运行，常用于企业环境保险系统安全。

木马诈欺WDAC政策顽抗安全软件，实质是“借刀杀东谈主”——用系统自带的安全功能，反过来限定安全软件的运行。它通过改革“允许运行的法度清单”，让安全软件成为“被禁止的对象”，而木马我方则被加入“白名单”，从而完了长期潜藏、不受监控的袭击主张。

如下图，银狐木马开释名为SIPolicy.p7b的WDAC政策树立bin文献。对其进行解码后检讨其内容可知，其中树立了安全软件有关进度/模块/目次下的终结政策，袭击者意图使用系统WDAC政策禁止安全软件启动，从而避让查杀。

Windows Defender政策蹂躏（Impair Defenses：T1562）

腾讯混元大模子时刻点讲授：

Windows Defender会依期扫描系统文献，如若发现病毒（坏心法度），会阻抑或删除它。病毒为了存活，必须让Defender“跳过”我方的位置——这就需要用到PowerShell的Add-MpPreference -ExclusionPath大叫（或类似的Set-MpPreference大叫）。这个大叫的作用是：告诉Defender“这个旅途里的文献无谓扫描”。

如下图，银狐使用powershell.exe Set-MpPreference -ExclusionPath "C:\", "D:\", "E:\", ..., "Z:\"将所有这个词目次添加到摒除目次，进而在Windows Defender扫描时对其自身坏心文献模块进行白名单放行。

VT法度蹂躏（Impair Defenses：T1562）

腾讯混元大模子时刻点讲授：

Intel VT（Intel Virtualization Technology）是CPU级硬件扶持编造化时刻，ntel VT通过VMX模式阻抑、VMCS驾御、EPT内存编造化等中枢时刻，为终局安全软件提供了硬件级的安全阻抑与性能保险。其中枢上风在于其全维度监控：覆盖API调用、进度行为、内存操作等多个层面。

部分安全软件使用VT（Intel Virtualization Technology，英特尔编造化时刻）完了更底层的系统安全行为监控。该功能属于CPU级别的硬件扶持编造化时刻，比操作系统内核态Ring 0更底层，属于Ring -1层，兼容性问题愈加复杂。银狐充分挖掘安全软件兼容商酌下的临时退出场景。如下图，银狐诈欺WEGAME反舞弊系统使用VT编造化时，部分安全软件对WEGAME兼容商酌下的退出场景，从而绕过其主动未必政策。

增肥/污染（Obfuscated Files or Information：T1027）

腾讯混元大模子时刻点讲授：

木马要绕过安全软件的“围追切断”，除了散失自身代码、伪装成宽泛文献，还会用“体积增肥”的技能——把我方的文献体积变得非常大（比如从几KB涨到几百MB），让安全软件“看不上”或“认不出”，从而凯旋插足电脑潜藏。

银狐木马母体可达上百MB，同期也会将一些重要的坏心模块进行单独的增肥，意图使用该方式来侧目安全软件云查杀，避让部分安全软件快速查杀政策。同期，银狐也使用万般代码加壳，污染手法进一步散失特征。

注册表/图片隐写（Obfuscated Files or Information：T1027 ）

腾讯混元大模子时刻点讲授：

隐写术是木马的“隐形外衣”，它将坏心代码（如木马法度、驾御提示）散失在注册表内，或图片文献（如PNG、JPG）的“像素间隙”或“文献结构”中，让安全软件误认为这是“宽泛图片”，从而跳过扫描。

如下图，银狐将坏心C2载荷填充到注册表特定位置，使用外部Loader在启动时将其从注册表内读取后进一步装载，使用该方式可有用幸免安全软件对其中枢坏心功能代码的检测。

05握久化（TA0003）

自启动位置（Scheduled Task/Job：T1053，Modify Registry：T1112，Create or Modify System Process：T1543）

腾讯混元大模子时刻点讲授：

干事（Services）：随系统启动的“隐形看管者”

启动目次（Startup Folder）：用户登录的“自动触发器”

注册表启动项（Registry Run Keys）：系统级的“隐身开关”

规画任务（Scheduled Tasks）：定时/事件的“精确开关”

这四种方式均为Windows正当功能，木马通过“伪装”成宽泛组件（如干事、启动法度、定时任务、注册表树立），绕过用户和安全软件的旧例检测。更重要的是，多重机制访佛（如干事+注册表+规画任务）形成“回生链”——即使其中一个被断根，其他机制仍能再行激活木马，完了“野火烧不尽”的握久化驾御。

银狐握久化时势万般，充分诈欺注册表、干事、启动目次、规画任务等。除此外，也看到对于规画任务等启动旅途上，银狐也常使用一些字符凭借/污染手法，意图避让一些终局查杀匹配政策。回归银狐主要使用以下几种方式来污染旅途，侵略查杀。

引号包围单个字符检测(如"c"h"r"m"s"t"p")；

引号包围旅途分隔符检测(如"\"r")；

空格引号侵略旅途倡导检测。

如下图文献名使用引号进行拼接：

可排查以下有关位置说明是否存在非常启动项：

UserInitMprLogonScript（Boot or Logon Initialization Scripts： T1037.001）

腾讯混元大模子时刻点讲授：

UserInitMprLogonScript 是 Windows 注册表中的一个用户级键值（旅途：HKEY_CURRENT_USER\Environment），它的作用是：当用户登录系统时，自动推行该键对应的法度或剧本。

简短说，它就像一个“登录触发器”——你每次输入密码登录电脑，系统都会查验这个键，如若里面有旅途，就会自动运行里面的法度。

如下图，银狐写入UserInitMprLogonScript内坏心载荷完了握久化推行：

改革启动目次（Boot or Logon Autostart Execution ： T1547）

腾讯混元大模子时刻点讲授：

袭击者通过改革系统内注册表Shell Folders\Startup的根底主张，是让系统“误认为”坏心文献夹是正当的启动目次。系统启动时，会按照注册表的提示，去坏心文献夹里找法度运行，而不会怀疑这个文献夹的“信得过性”。

这种劫握方式的避讳性和危害性都很强，因为它诈欺了Windows系统的“信任机制”，绕过了安全软件的旧例检测。

如下图，袭击者劫握启动目次到坏心银狐载荷位置内完了避讳推行。

文献关联+编造诱导映射+PendingFileRenameOperations机制无痕启动（Event Triggered Execution：T1546，Modify Registry：T1112 ，Boot or Logon Autostart Execution：T1547）

腾讯混元大模子时刻点讲授：

Windows文献关联：

Windows中注册表HKEY_CLASSES_ROOT\[文献推广名]\shell\open\command很重要，系统用注册表旅途来记载“文献类型→法度”的对应经营，用于在大开指定类型文献时，调用对应的法度。

Windows新增磁盘诱导：

Windows中注册表DosDevices项是Windows系统的“盘符字典”，记载了“盘符名字”和“存储旅途”的对应经营。通过修改这个字典里的“名字”（比如把F:改成G:），系统就会给对应的存储诱导分拨新的盘符，完了“新增盘符”的效率。

Windows-PendingFileRenameOperations作用：

PendingFileRenameOperations是Windows系统的“文献操作待办清单”，出奇记载暂时无法完成的文献重定名/删除任务，等下次开机时自动推行。它的存在处分了“文献被占用时无法操作”的问题。主要包括以下常见场景：

●软件安设/卸载：安设法度需要删除旧版块文献，但旧文献被系统进度占用，就会写入PendingFileRenameOperations，等重启后删除。

●系统更新：Windows更新时需要替换系统文献，但文献正在被使用，就会记载到PendingFileRenameOperations，重启后完成替换。

●临时文献策帐：系统或法度生成的临时文献，需要删除但被占用，也和会过PendingFileRenameOperations延伸处理。

Windows-PendingFileRenameOperations操作时机：

PendingFileRenameOperations的操作时机早于驱动加载，其推行发生在会话料理器（smss.exe）启动后、驱动加载前，是Windows系统启动经由中前置的文献操作设施，确保驱动加载时文献系统的齐备性。

咱们初度走漏银狐使用的一些独到的握久化手法，通过创建编造诱导，将StartUp目次表层目次映射到新的诱导盘位置，同期充分结合文献关联以及PendingFileRenameOperations机制完了避讳无痕启动。银狐充分诈欺有经营统秉性，组合完了了一套自创的无痕握久化过程，以完了绕过安全软件监控避讳握久化推行，详确过程如下：

如下图，银狐写入人人下载目次下一个立时后缀的WOFLD文献+后门exe法度，宽泛情况下系统重启后木马无法再次推行。

银狐创建.wofld立时文献后缀的关联启动，当有.wofld文献推行时，会关联使用后门exe大开。不错看到该位置由于写入的是立时类型后缀的大开关联，并非改革明锐类EXE、DLL、LNK可推行类法度关联。是以部分安全软件出于用户体验商酌，对该处弱风险行为并不会遏抑，此时木马无法完了重启握久化。

银狐创建编造诱导O盘，将其映射到系统StartUp启动目次的表层，此时木马依旧无法完成握久化启动，由于只是是创建了一个Programs目次的映射操作，该动作并不解锐，该弱风险行为安全软件平庸会放行。

银狐最终诈欺PendingFileRenameOperations机制，完了在开机启动时将随后wofld类型后缀文献写入O盘下Startup目次内。不错看到，此处写入启动旅途位置为O:\Satrtup下，由于该旅途并不解锐，是以天然部分安全软件监控了PendingFileRenameOperations操作，但依旧会对其放行。

由于O盘下Startup此时赶巧被映射到系统盘启动目次，立时类型文献在开机时被写入启动目次，立时类型文献有契机得到推行。又由于立时后缀文献的大开被关联到下载目次内的木马EXE法度，故系统拉起推行了坏心后门。

由于是在开机过程完成的O盘映射目次文献写入，且该操作由Windows会话料理器（smss.exe）完成。该模块启动时代早于安全软件驱动加载。最终绕过了部分终局安全软件注重服从的启动目次监控。同期木马启动生效后，会再次删掉启动目次内已存在的立时后缀启动文献，从而导致通盘启动过程在过后齐全无感知。

分析通盘过程，银狐诈欺系统内3处与启动项无关的弱风险改革操作，绕过安全软件检测/阻断过程，最终组合完了了一个超等避讳，且安逸的无痕握久化方式。

06影响（TA0040）

银狐团伙以高度定向性、时刻复杂性和社会工程诓骗性为中枢，借助其不时演进的顽抗性时刻组合（安全顽抗、内存驻留、握久化立异、避讳性增强、诈欺正当干事通讯）及多维度拐骗政策（如热门阵势垂钓、热门应用伪装），也曾构建起“传播-浸透-驾御-窃取-诓骗”的齐备袭击链路。

当银狐木马生效植入系统，袭击者则进一步尝试驾御主机。通过辛苦驾御主机桌面，进一步尝试窃密，操作东机开展诓骗等行为，被袭击主机可能出现以下系统非常行为。

●酬酢软件大都发送子虚诓骗音尘。

●编造财产转账过程尴尬其妙重定向到黑客账户内。

●系统桌面鼠标尴尬自动点击，录像头自动大开。

●系统里面分系统进度经常外联可疑地址。

●系统内责任贵府存在大开翻动印迹。

●系统内软件/系统账号被经常非常登录。

●系统安全（土产货防火墙、杀毒软件）防御运行非常。

●任务料理器中的可疑立时进度CPU占用非常，无法收尾。

07防御提议

●栽培警惕，谨防垂钓袭击：切勿卤莽大开来历不解的邻接、点击领受未知开端的邮件附件或下载安设非实在渠谈的应用，对微信群、QQ 群等酬酢媒体传播的非官方示知和法度保握高度警惕。

●严慎处理明锐信息：触及个东谈主明锐信息输入（如银行卡号、手机考证码等）或财帛转账时，务必严慎查对信息开端与用途，确保操作安全正当。

●实时部署安全软件：提议部署终局安全软件，开启垂钓防御和实时监控功能，并保握系统与安全软件版块实时更新，以具备最新防御身手。

下载“北京日报”客户端阅读体验更佳哦

扫描二维码下载手机客户端

-->

分享到

发布指摘娴雅上网感性发言，请遵命指摘干事条约

未登录

0/200发布发布一皆指摘

0条

点击加载更多

宽待下载“北京日报”客户端发表指摘

有关阅读热门报谈换一批保举阅读换一批精彩视频换一批猜你心爱调动北京国内海外北晚社会娱乐体坛旅游文史阅读深度产经窥察互联网好意思食北晚健康破费北晚行业北晚网摘网站舆图新闻指摘深度表面视频图库悦读互联网财经文化体坛科教破费矩阵网摘东城区政府网站西城区政府网站向阳区政府网站海淀区政府网站丰台区政府网站石景山区政府网站门头沟区政府网站房山区政府网站通州区政府网站顺义区政府网站大兴区政府网站昌平区政府网站平谷区政府网站怀柔区政府网站密云区政府网站延庆区政府网站市东谈主大市政协市监察委市高档东谈主民法院市东谈主民检察院市政府办公厅市发展校正委市教委市科委市经济信息化局市民族宗教委市公安局市民政局市功令局市财政局市东谈主力社保局市计算天然资源委市生态资源局市住房城乡诞生委市城市料理委市交通委市水务局市农业农村局市商务局市文化和旅游局市卫生健康委市退役军东谈主事务局市救急料理局市阛阓监督料理局市审计局市政府外办市国资委市播送电视局市文物局市体育局市统计局市园林绿化局市所在金融监管局市东谈主防办市信访办市学问产权局市医保局京报媒体矩阵北京日报北京晚报北京后生报北京商报音乐周报新闻与写稿北京日报客户端长安街知县艺绽北晚在线北京深读空间