2026年3月22日早晨,全球安全运营中心的屏幕突然同时变红。一家自称做"搜索变现研究"的公司,用合法签名软件做掩护,让超过2.3万台电脑变成了随时可被劫持的"肉鸡"——而攻击者需要付出的成本,仅仅是一顿外卖钱。
从广告插件到国家级威胁
事情最初只是一条普通的广告软件(Adware)告警。
3月22日当天,多个托管环境的安全系统同时触发警报,源头指向Dragon Boss Solutions LLC签名的可执行文件。这家公司对外宣称从事"搜索变现研究",听起来像是某个不起眼的广告技术小厂。
但Huntress安全研究员James Northey和Ryan Dowd很快发现不对劲。
这些程序表面无害,内核却藏着一套精密的杀伤链:以完整系统权限(SYSTEM privileges)静默运行,通过内置更新机制获取并部署载荷,专门猎杀杀毒软件。
杀毒软件的禁用行为最早在2025年3月底被观测到,但加载器和更新组件早在2024年底就已潜伏在受害者系统中。攻击者用了整整几个月时间布局,等待最佳时机。
「WMI持久化信号开始在托管环境中触发时,我们意识到这不是普通的广告软件。」Huntress团队在事后复盘中提到。他们顺藤摸瓜,锁定了一个名为RaceCarTwo.exe的签名可执行文件——整个感染链的起点。
攻击路径层层递进:RaceCarTwo.exe部署Setup.msi,后者执行名为ClockRemoval.ps1的PowerShell脚本。这个脚本不仅是杀毒软件杀手,还会主动阻断任何重新安装安全产品的尝试。
更棘手的是攻击工具的选择。Advanced Installer是一款合法的现成更新工具,攻击者用它来传递MSI和PowerShell载荷,给恶意行为披上了"正常软件更新"的外衣。
10美元的"核武器按钮"
当Huntress团队深入分析更新配置时,发现了一个令人脊背发凉的漏洞。
主更新域名chromsterabrowser[.]com竟然处于未注册状态。这意味着任何人花大约10美元注册这个域名,就能立即获得向所有运行该软件变种的受感染端点推送任意载荷的能力——勒索软件、信息窃取器,或者更危险的东西。
这是一个典型的供应链攻击窗口:攻击者劫持的不是代码本身,而是代码的"信任通道"。
Huntress抢在真正的恶意行为者之前注册了这个域名,将其指向sinkhole(沉洞服务器)。接下来的24小时,数据洪流证实了最坏的情况。
23,565个独立IP地址连接到了sinkhole。这些电脑正在主动"报到",等待接收下一步指令。它们不知道自己已经逃过一劫——如果域名落入他人之手,这2.3万多台机器将在几小时内沦为僵尸网络或加密勒索的牺牲品。
地理分布揭示了攻击的全球化程度。美国以12,697台主机(53.9%)居首,法国2,803台(11.9%),加拿大2,380台(10.1%),英国2,223台(9.4%),德国2,045台(8.7%)。这不是针对特定国家的行动,而是一张撒向发达数字经济体的大网。
被忽视的"高价值目标"
数量之外,质量更令人担忧。
在全部感染中,324台主机属于高价值网络:221所大学和学院,41个与电力设施和关键基础设施相关的运营技术网络,35个政府实体,24所中小学,3家医疗机构。此外,多家财富500强企业的网络也在受影响名单之列。
这些数字暴露了一个被长期低估的攻击向量:边缘软件供应链。
Dragon Boss Solutions不是传统意义上的"恶意软件作者"。他们拥有合法的公司实体,使用正规的代码签名证书,产品功能(搜索变现、浏览器工具)看似无害。但正是这种"灰色身份",让他们能够穿透企业安全防线——IT部门很难向管理层解释为什么要封锁一个"做搜索广告的公司"的软件。
关键基础设施运营者(OT网络)的感染尤其值得警惕。41个电力相关网络的沦陷,意味着攻击者已经获得了潜在的能力去触碰物理世界的开关。虽然本次事件止步于杀毒软件禁用阶段,但同样的更新机制完全可以输送针对工业控制系统的专用载荷。
教育机构的密集感染(221所大学+24所中小学)则反映了另一个现实:高校网络以开放性和学术自由著称,往往成为供应链攻击的软目标。而这些网络又连接着大量研究数据、知识产权和年轻用户的个人信息。
"合法工具"的黑暗面
Advanced Installer在本案中的角色值得深究。
这是一款成熟的商业软件,被数千家ISV(独立软件供应商)用于打包和分发应用程序。它的合法性正是攻击者选择它的原因——安全产品通常会对知名厂商的工具放行,或者至少降低检测优先级。
这种" living off the land "(就地取材)的策略正在重塑威胁格局。攻击者不再需要开发复杂的漏洞利用程序,只需要:
1. 注册一家公司(成本:几百美元)
2. 获取代码签名证书(成本:每年数百至数千美元)
3. 购买合法的开发工具(成本:一次性或订阅费用)
4. 租用基础设施(成本:按需付费)
总投入可以控制在数千美元以内,而潜在收益——特别是针对高价值目标的勒索或间谍活动——可能是百万甚至千万美元级别。
Dragon Boss Solutions的运营模式也暗示了更广泛的地下经济。搜索变现(Search Monetization)本身就是一个灰色地带:通过浏览器劫持、重定向、捆绑安装等方式获取广告流量。这类业务天然需要规避安全检测,与恶意软件的技术手段高度重合。当"灰色收入"不够时,基础设施转向纯黑色用途几乎是零摩擦的。
域名空悬:被忽视的供应链漏洞
本案最戏剧性的细节——未注册域名成为攻击跳板——并非孤例。
软件更新机制通常硬编码域名或IP地址。当开发团队解散、公司倒闭、或者仅仅是运维疏忽时,这些域名可能过期释放。如果软件仍在运行,它就变成了一个开放的远程控制接口。
2023年,安全研究员曾发现多个流行的IoT设备固件指向已失效的更新服务器;2017年,某知名下载工具的旧版本因域名过期被劫持,用于分发恶意软件。Dragon Boss Solutions的案例之所以严重,在于规模(2.5万端点)与目标价值(关键基础设施)的叠加。
防御这类威胁需要改变思路。传统的"黑名单"思维——识别已知恶意软件——对合法签名软件无效。企业需要:
- 对软件更新行为进行行为监控,而非仅依赖静态签名
- 建立软件物料清单(SBOM),追踪每个组件的更新通道
- 对指向外部域名的更新机制进行DNS层面的审计
- 在关键网络分段中限制软件自动更新权限
Huntress的sinkhole操作虽然暂时化解了危机,但只是权宜之计。chromsterabrowser[.]com现在由安全公司控制,但Dragon Boss Solutions的其他软件变体可能指向不同的域名——其中还有多少处于未注册状态?
当"广告技术"成为特洛伊木马
回到Dragon Boss Solutions本身的商业模式,一个更深层的问题浮现:搜索变现研究与系统级权限、持久化机制、杀毒软件对抗技术之间,存在什么合理的关联?
正常的广告技术不需要SYSTEM权限,不需要WMI持久化,更不需要阻止用户重新安装安全软件。这些功能的唯一解释是:该软件的设计目标本身就包含对抗用户意志和安全控制。
这揭示了一个监管灰色地带。现行法律对"广告软件"和"恶意软件"的界定往往依赖主观意图判断,而技术实现可以高度相似。Dragon Boss Solutions至今未被起诉,可能正是因为这种模糊性——他们的律师可以辩称所有功能都是为了"确保广告服务的连续性"。
但2.3万台受感染机器、324个高价值网络、包括电力设施和财富500强在内的受害者清单,让这种辩解显得苍白。当基础设施足以支撑国家级破坏时,"广告"的标签不再适用。
事件时间线也值得关注。2024年底加载器就位,2025年3月首次观测到杀毒软件禁用行为,2026年3月被发现——长达一年多的潜伏期。这不是机会主义犯罪,而是有计划的渗透。
谁该为那10美元负责?
供应链安全的责任分配在此案中变得复杂。Dragon Boss Solutions作为软件作者,显然负有首要责任。但使用Advanced Installer这样的第三方工具,是否意味着工具厂商也有义务监控滥用?托管受影响软件的分发平台,是否进行了足够的审查?最终用户——那些大学、电力公司、政府机构——的安全团队,又为何未能发现异常更新行为?
最尖锐的问题指向代码签名证书的颁发机构。Dragon Boss Solutions获得了有效的数字签名,这意味着某家证书机构验证了其身份。这种验证的强度如何?是简单的邮箱确认,还是包含了企业实体核查?当签名被用于大规模恶意活动时,证书机构的责任
热门跟贴