为什么你从搜索引擎找到的录屏软件,装完之后一切正常,安全软件也没响,后台却已经有人悄悄连上了你的电脑?卡巴斯基的托管检测与响应团队最近在追查一起异常告警时,发现了一个铺开近百个假下载站的AsyncRAT投放活动。整个攻击最让人不安的地方在于,它利用的正是一个很多公司默认放行的合法远程工具——ScreenConnect。

问题的核心是一种信任错配。对于普通用户来说,找到一款免费好用的OBS Studio或Bandicam替代掉付费工具,是再正常不过的需求;攻击者看准的也正是这种心态,把木马包装进热门软件的“安装包”,再用SEO把假页面推到搜索结果前面。当受害者以为自己在下载录屏、换DNS或者优化手柄的工具时,实际落地的却是一个会侧加载恶意DLL的安装器。而ScreenConnect这个在很多企业环境里被视为正常运维工具的程序,一旦被这么“请”进来,几乎不会触发任何网络告警。

打开网易新闻 查看精彩图片

具体流程像一套精细的舞台魔术。用户下载了一个看起来叫“obs-studio-windows-x64.zip”的压缩包,解压后运行,看到的界面和操作流程完全就是OBS Studio的安装过程。然而这个安装包里,放着一个真实带有微软数字签名的合法可执行文件,只是名字被改得像原版安装器,旁边还躺着一个名为install.res.1033.dll的恶意库。当用户双击运行,系统加载那个白签名exe的时候,并不检查旁边的DLL到底是什么来路,于是恶意代码就通过DLL侧加载被悄悄带了进来。整个过程里,真正的OBS Studio确实会被装好,所以用户完全不会怀疑。

ScreenConnect就是在这样毫无破绽的掩护下被静默安装的。之后,它首先用一段PowerShell脚本把Microsoft Defender的检测路径里加了排除项,然后把用户账户控制的提示也关掉。紧接着又释放出一个VBScript文件,用异或密钥解开藏在里面的载荷,不落盘直接加载到内存里。最后的一步,是通过进程镂空把解码后的AsyncRAT注入到一个叫RegAsm.exe的合法系统进程里去跑。为了让这个后门掉了也能重新起来,攻击者还新建了一个计划任务MasterPackager.Updater,每两分钟就会自动唤醒一次,哪怕机器重启也无济于事。

回头查整个基础设施,卡巴斯基的研究人员梳理出了两套主要集群,背后锁定了三个IP。最早的一批诱饵网站还用过游戏主题的页面,后来才转向仿冒OBS Studio、DNS Jumper、Bandicam、DS4Windows这类工具软件。圈出来的假下载站超过90个,域名覆盖10种语言,没有群发钓鱼邮件,纯靠搜索引擎流量就能把人拉进来。Securelist的报告里也提到,最初引起注意的那条告警,就是因为看到ScreenConnect进程触发了异常的PowerShell和VBS脚本,才一层层把这个链条全挖了出来。

这次事件让人后背发凉的不是代码有多高明,而是攻击者把白工具用得比很多安全运维还熟练。面对这种操作,普通用户能抓得住的防线其实很小:别在非官方渠道碰那些“装机必备”的安装包,哪怕搜索结果排得再靠前。