企业安全团队平均需要多久才能响应一次入侵?ReliaQuest给出的答案是:这次他们连22分钟都没有。
2024年初,一款名为DeepLoad的恶意软件开始在企业网络中活动。它的攻击链设计得像一份精心计算的数学题——每一步都在压缩防御方的反应窗口,直到手动响应彻底失去意义。
ClickFix:一个粘贴动作打开全部防线
攻击起点是员工每天都会看到的浏览器界面。攻击者伪造Chrome或Edge的错误页面,提示"网页无法加载",并给出一段PowerShell命令让用户粘贴到Windows运行框里"修复"问题。
这个手法叫ClickFix,不算新。但DeepLoad的精妙之处在于,它把社会工程和技术执行压缩成了一个无法撤回的动作。
用户按下回车的瞬间,系统创建了一个计划任务(Scheduled Task),每次开机自动重新执行加载器。加载器本身调用mshta.exe——这是Windows自带的合法工具——从攻击者服务器拉取混淆后的载荷。
ReliaQuest分析师在调查活跃的企业入侵事件时追踪到了这条链路。他们发现,从攻击者注册域名到开始分发恶意内容,中间只隔了22分钟。
22分钟,比大多数安全运营中心(SOC)的工单流转时间还短。
三重 persistence:清理不干净就白干
DeepLoad的设计假设是:防御方一定会尝试清理。所以它在三个不同层面埋下了复活机制。
第一层是计划任务,最显眼,也最容易被发现。第二层藏在WMI事件订阅里——这个Windows管理接口的合法功能被用来监听系统事件,一旦触发就静默重新部署载荷。
ReliaQuest确认了一个真实案例:某台主机在完成标准清理流程、被认为"已恢复"的三天后,WMI订阅自动触发,filemanager.exe重新出现在用户的Downloads文件夹。
第三层是USB传播。感染后十分钟内,恶意软件会向所有连接的U盘写入超过40个伪装文件——包括假的Chrome、Firefox、AnyDesk快捷方式。这些文件外观正常,双击即触发完整感染链。
这意味着第一台被感染的主机几乎不可能是唯一受害者。
AI生成的混淆层:防御者的噩梦
DeepLoad的PowerShell加载器看起来极其忙碌。脚本里塞满了数千行无意义的变量赋值,像一份故意写得很长的报告,真正的核心逻辑——一段简短的XOR解密例程——被压在底部。
解密在内存中完成,解码后的载荷从不触碰磁盘。传统基于文件扫描的终端保护(EDR/AV)在这里失去目标。
ReliaQuest研究人员以高置信度评估,这层混淆是由AI生成的。
「AI生成的混淆层意味着攻击者可以快速重建和重新部署新变体,赶在防御者调整检测覆盖之前。」ReliaQuest在分析报告中写道。
这不是比喻。人工编写复杂混淆代码需要数天到数周,而生成式AI可以把周期压缩到小时级别。检测规则刚写好,目标已经变形。
双通道窃密:主链路断了,数据还在流
DeepLoad部署的凭证窃取器叫filemanager.exe——这个名字在任何进程列表里都不会引起注意。它运行在独立的命令与控制(C2)通道上,即使主加载器被阻断,窃密活动仍能继续。
同时,一个恶意浏览器扩展开始工作。它实时捕获用户输入的密码和会话令牌,并在浏览器会话之间持久化留存,直到被手动移除。
企业常用的单点登录(SSO)和多因素认证(MFA)在这里遭遇了一个尴尬的现实:令牌一旦被盗,攻击者就能在别处复用会话,不需要知道原始密码。
ReliaQuest没有披露具体受害企业数量,但强调这是"活跃的企业入侵事件"。从攻击链的完整度和自动化程度来看,幕后运营者具备相当的资源投入。
防御建议并不新鲜:限制PowerShell执行策略、监控WMI事件订阅、阻断mshta.exe的网络连接、对USB设备实施管控。但DeepLoad的真正价值在于提醒——当AI开始批量生成攻击代码时,这些基础配置的缺口代价会指数级放大。
ReliaQuest分析师在收尾时留下了一个值得玩味的细节:他们在追踪过程中发现,攻击者的基础设施在持续迭代,某些域名的存活时间甚至短于安全厂商的样本分析周期。
如果恶意软件的部署速度已经压缩到分钟级,而防御方的检测规则更新仍以天为单位,这个时差最终由谁来买单?
热门跟贴