你有没有想过,为什么有些恶意软件能长期潜伏在你的电脑里,连杀毒软件都发现不了?DragonBreath团伙的最新玩具RoningLoader,把这个问题变成了现实——而且手法之精巧,堪称"多层套娃"的教科书。
一图看懂:RoningLoader的"千层饼"结构
如果把这款恶意软件的架构画成一张图,你会看到五个紧密咬合的同心圆。最外层是伪装,中间是投递机制,核心则是层层递进的逃逸技术。每个环节都不是单独存在的,而是为下一环的失败预留了备份方案。
这种设计思维,像极了产品经理做容灾架构时的思路:单点故障不能导致系统崩溃。只不过这里的产品,是一款专门用来窃取数据的攻击工具。
最外层的伪装选择了NSIS安装程序框架——这是国内软件分发中极为常见的合法工具。攻击者没有自己造轮子,而是直接劫持了用户已经信任的基础设施。当你下载一个"Chrome更新包"或"Teams安装程序"时,看到的界面和正常软件毫无区别。
但真正的动作发生在后台。安装程序会同时释放两个文件:一个是真的应用程序,另一个是隐藏的恶意动态链接库(DLL,一种程序共享代码的文件格式)。前者在前台正常运行,后者则在后台悄然启动。这种"双胞胎"策略让用户很难察觉异常——软件确实能用,只是电脑已经被开了后门。
第一层逃逸:DLL侧载的"借壳上市"
RoningLoader的第一道防线是DLL侧载(DLL Side-Loading)。这个技术本身并不新鲜,但执行得非常干净。
原理很简单:Windows程序在启动时会按固定顺序搜索所需的DLL文件。攻击者把一个恶意DLL放在搜索路径的优先位置,程序就会"误加载"这个假文件,而非系统真正的库文件。对安全软件来说,这看起来就像是一个正常程序在执行正常操作。
更妙的是,被劫持的往往是带有有效数字签名的合法程序。杀毒软件看到签名有效,往往会降低警惕。RoningLoader正是利用了这种信任传递——用真程序的"身份证",干恶意软件的勾当。
但这只是开始。如果这一层被识破,还有第二层等着。
第二层逃逸:内存里的"隐身术"
被加载的恶意DLL会读取一个伪装成PNG图片的加密文件。这个文件里藏着下一阶段攻击所需的shellcode(一种直接由处理器执行的二进制代码)。
关键操作在这里:shellcode被直接注入内存执行,全程不落地到硬盘。
传统杀毒软件严重依赖磁盘扫描。文件没写入磁盘,就等于没留下指纹。内存取证技术虽然能检测这类行为,但部署成本高、误报率高,大多数个人用户和企业终端都不会启用。
AttackIQ的研究人员把这一阶段映射到MITRE ATT&CK框架(一种标准化的网络攻击技术分类系统)时,标注了多个难以监控的技术点。这不是因为框架不完善,而是因为攻击者刻意选择了检测盲区。
到这里,RoningLoader已经完成了从"混入系统"到"隐藏自身"的跃迁。但真正的狠活还在后面。
第三层逃逸:内核级的"降维打击"
如果前两道防线都被突破,RoningLoader会启动它的终极武器:一个经过合法签名的内核驱动程序。
内核是操作系统的最核心层,控制着硬件资源和所有软件的运行权限。用户模式下的安全软件,本质上只是内核的"租客"——房东要赶人,租客毫无办法。
这个被滥用的驱动程序,正是用来执行"赶人"操作的。它会直接终止以下安全产品的进程:Microsoft Defender、金山毒霸、腾讯电脑管家、360安全卫士。
名单很有意思——前三款是国内外主流的个人级防护产品,360则是国内企业市场的常客。攻击者的目标画像非常清晰:中文用户,可能是普通网民,也可能是中小企业员工。
用合法签名驱动做坏事,这招堪称"借刀杀人"。驱动程序本身可能来自某家被攻破的硬件厂商,或是利用过期证书签名的旧版本。无论如何,它在系统看来都是"自己人",直到它开始批量关闭杀毒软件。
终点:gh0st RAT的"长期驻场"
当所有障碍被清除,RoningLoader会部署最终载荷:一个修改版的gh0st RAT。
RAT是远程访问木马(Remote Access Trojan)的缩写,功能如其名——让攻击者像操作自己的电脑一样控制受害机器。gh0st RAT是中文网络犯罪生态中的"老字号",源代码早已流传多年,但修改版本层出不穷。
这个最终阶段的目标很明确:数据窃取、横向移动、长期监控。攻击者可以静默上传文件、记录键盘输入、截取屏幕画面,甚至把这台机器当作跳板,攻击同一网络内的其他设备。
Elastic Security Labs在2025年11月首次记录到RoningLoader的活动,当时主要针对运行中文终端检测工具的用户。短短几个月,AttackIQ团队就完成了全链条的复现分析,并发布了可模拟的攻击图谱。这种响应速度本身,也说明了威胁的紧迫性。
谁是DragonBreath?
操纵这套复杂工具的团伙,被追踪代号为DragonBreath(亦作APT-Q-27)。公开情报显示,该组织自2020年起持续活跃,主攻方向是在线游戏和博彩行业。
其地理覆盖范围相当广泛:中国大陆、台湾、香港、日本、新加坡、菲律宾。这些区域要么有庞大的游戏用户基数,要么有活跃的线上博彩市场,要么两者兼具。
选择这些目标并非偶然。游戏和博彩账户往往绑定支付渠道,虚拟资产变现链条成熟;行业从业者对"安装辅助工具"的警惕性较低;跨境执法协调困难,追责成本高。RoningLoader的技术升级,可以看作是这个团伙"业务扩张"的基础设施投入。
研究人员评价这是DragonBreath"迄今为止技术能力最强的行动"。考虑到该组织五年来的持续迭代,这个判断暗示了一个不太乐观的趋势:攻击者的工程化水平正在快速追赶防御方。
冗余设计的启示
RoningLoader最值得关注的设计特征,是它的故意冗余。每一层逃逸技术都不是孤注一掷,而是为下一层预留了入口。DLL侧载失败?还有内存注入。内存被监控?驱动程序直接清场。
这种架构思维,和云计算领域的"多可用区部署"如出一辙——假设任何单点都可能失效,系统必须在故障中保持服务。只不过这里的服务,是持久化的非法访问权限。
对防御方来说,这意味着没有"一招制敌"的银弹。检测NSIS安装包异常、监控内存中的可疑代码注入、审计内核驱动程序的加载行为——每一层都需要独立的检测能力,而大多数终端安全方案只覆盖了其中一两层。
AttackIQ发布的攻击图谱,本质上是在用攻击者的思维做"红队推演"。这种模拟不是预测未来,而是确认:如果对手真的这么打,我们的现有防线能撑到哪一层?
用户端能做什么?
对于普通用户,RoningLoader的启示很朴素,但容易被忽视。
第一,安装包的来源比安装包本身更重要。NSIS框架被滥用,恰恰因为它太常见、太可信。从非官方渠道下载的"Chrome"或"Teams",即使界面看起来一模一样,也可能藏着双胞胎兄弟。
第二,安全软件的静默退出值得警惕。如果某天发现Defender或360的托盘图标消失了,且无法手动重启,这很可能是内核级攻击的征兆——而非简单的软件故障。
第三,企业环境的终端检测需要覆盖内存层和内核层。个人用户或许可以赌概率,但企业资产的集中化管理,必须假设高级威胁已经突破了第一道防线。
DragonBreath的五年演进,展示了一个成熟攻击组织的"产品迭代"路径:从简单的钓鱼邮件,到多层嵌套的自动化加载器,再到内核级的权限维持。每一步升级都在降低被发现的风险,延长驻留时间,提高最终收益。
RoningLoader不是终点。当这套技术框架被验证有效,复制和变种只是时间问题。防御方的窗口期,在于攻击者尚未大规模扩散之前,完成检测能力的分层建设。
毕竟,当杀毒软件自己都保不住的时候,指望用户凭直觉发现异常,多少有点强人所难——就像要求乘客在飞机引擎熄火时,自己判断该用哪个紧急出口。
热门跟贴