去年全球企业为勒索软件支付了超过11亿美元赎金,但真正的恐怖不在于病毒本身——而在于攻击者现在连一行恶意代码都不用写,就能让你的杀毒软件集体失声。
印度安全厂商Seqrite的最新研究揭示了一个被长期低估的攻击路径:黑客正在大规模"借壳"合法Windows工具,在勒索软件投放前完成精准清场。这些工具自带数字签名,在系统日志里看起来就像IT部门的日常维护操作。
被"招安"的系统工具:从维修工到内鬼
Process Hacker、IOBit Unlocker、PowerRun、AuKill——这些名字对IT运维人员再熟悉不过。它们原本用于终止卡死进程、解锁被占用文件、以系统权限运行诊断程序。
攻击者看中的正是它们的"清白身份"。
IOBit Unlocker被改造后,直接调用NtUnlockFile API删除杀毒软件的可执行文件;TDSSKiller本是卡巴斯基出品的Rootkit清除工具,现在被用来卸载杀毒内核驱动,且阻止其重新加载;Process Hacker则利用SeDebugPrivilege特权强行终止安全进程。
由于这些工具均经过合法数字签名,EDR(端点检测与响应)系统通常将其标记为"受信任的行政管理活动",攻击痕迹被完美洗白。
Seqrite研究人员指出,这种"合法工具武器化"已成为LockBit 3.0、BlackCat、Dharma、Phobos、MedusaLocker等主流勒索家族的标配手法。攻击者不再依赖单一自制木马,而是像产品经理拆解用户旅程一样,系统性地研究目标环境、识别防御弱点、调用现成工具完成渗透。
两阶段"静音模式":杀毒软件如何被系统性拆除
现代勒索攻击遵循严格的工业化流程。Seqrite将入侵路径拆解为两个明确的阶段,每个阶段都有具体的工具分工。
第一阶段专注"拆弹"与提权。攻击者投放的工具组合包括:IOBit Unlocker删除杀毒二进制文件,TDSSKiller卸载内核驱动,Process Hacker终止防护进程,Atool_ExperModel删除杀毒软件的启动注册表项——确保系统重启后防御仍处于瘫痪状态。
第二阶段才是真正的勒索软件投放。此时安全软件已完全静默,加密行为不会触发任何实时告警,安全运营中心(SOC)的仪表盘上一片祥和。
这种"先静音、后作案"的模式,将传统杀毒软件的"执行时拦截"机制彻底架空。
攻击技术的演进同样值得关注。早期CryptoLocker和WannaCry依赖基础命令行脚本;Conti和LockBit 2.0时代升级到内核级驱动操控;如今RaaS(勒索软件即服务)套件已内置预打包的"杀毒杀手"模块,订阅制攻击者开箱即用。
数字签名的信任悖论:为什么越"正规"越危险
这场攻防博弈的核心矛盾在于:企业安全架构建立在"签名=可信"的假设之上,而攻击者正在系统性利用这一假设。
Process Hacker的开发者Wen Jia Liu从未想过自己的开源项目会成为勒索产业链的基础设施。IOBit Unlocker的官网至今仍将"强制删除顽固文件"作为核心卖点——这恰恰是攻击者需要的功能。
更棘手的是,这些工具在多数企业的软件白名单中。封禁它们意味着IT运维效率的断崖式下跌;放任自流则等于给攻击者留后门。
Seqrite建议的检测方向包括:监控这些工具的异常调用模式(如非工作时间、非管理员账户、批量终止安全进程),以及关注进程树中的异常父子关系。但坦白说,这相当于在噪音中找信号——合法运维与恶意使用的边界正在模糊。
「攻击者正在研究目标,识别安全弱点,并将维护系统健康的工具武器化。」Seqrite研究团队在报告中写道。这句话的潜台词是:你的防御体系越依赖"信任名单",就越容易被这份名单反噬。
当杀毒软件本身成为攻击目标,传统的"层层设防"逻辑是否需要彻底重构?如果数字签名不再是可信凭证,下一代安全架构该以什么为锚点?
热门跟贴