“合法软件”变“远程后门”？新型钓鱼攻击用“真工具”干“假好事”

当你点击“更新Chrome”按钮时，你以为是在升级浏览器，实际上却可能亲手为黑客打开了公司电脑的“大门”。这不是科幻剧情，而是近期全球网络安全机构警告的一种真实且日益猖獗的攻击手法。

据《Infosecurity Magazine》最新报道，网络安全公司Red Canary监测到多起大规模钓鱼活动，攻击者正利用人们习以为常的“系统提示”和“官方文件”，将合法的远程管理软件（RMM）伪装成浏览器更新、会议邀请、电子请柬甚至政府税务表格，诱导用户主动下载并安装，从而在目标设备上建立隐蔽、持久的远程访问通道。

这场攻击的“高明”之处在于：它不依赖传统病毒，而是滥用本应服务于IT管理的正规工具——如ITarian（又名Comodo）、PDQ、SimpleHelp和Atera等，让恶意行为披上“合法外衣”，成功绕过企业安全防线。

打开百度APP畅享高清图片

你以为的“更新提醒”，其实是“开门指令”

想象这样一个场景：你在浏览一个看似正常的网站，突然屏幕中央弹出一个全屏提示：“您的Google Chrome浏览器已过期，点击‘立即更新’以确保安全。

但事实上，这个“更新”并非来自谷歌，而是由黑客控制的恶意网站注入的JavaScript代码所触发。你下载的也不是Chrome更新，而是一个名为ITarian的远程管理工具安装包（MSI文件）。一旦安装完成，你的电脑就变成了黑客的“远程工作站”。

Red Canary的分析显示，这类攻击使用了多种社会工程学诱饵，极具迷惑性：

虚假浏览器更新：通过被入侵的网站弹出全屏覆盖层，诱导用户点击“Update Chrome”。

伪造会议邀请：邮件中附带“Zoom”或“Teams安装包”，实则为Atera、PDQ等RMM工具。

节日聚会电子请柬：以“Party Card Viewer”为名，诱骗用户打开恶意附件。

政府文件钓鱼：冒充社保、税务等官方表格，诱导用户下载并填写，过程中植入PDQ Connect或SimpleHelp。

“这些诱饵都抓住了人们‘信任权威’和‘怕错过重要信息’的心理弱点。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“而且它们用的不是粗糙的仿冒页面，而是真实的、带数字签名的合法软件，这让普通用户甚至IT系统都难以察觉。”

为什么这种攻击特别危险？

传统网络安全防御体系主要依赖“黑名单”机制：识别已知病毒特征、拦截恶意IP地址、阻止可疑文件下载。但这次，攻击者玩了一手“降维打击”——他们用的全是“白名单”里的东西。

芦笛解释说：“这些RMM工具本身是正规厂商发布的，有合法数字签名，安装后注册为系统服务，网络通信也走HTTPS标准端口。杀毒软件一看，‘哦，这是个合法程序’，就放行了。EDR（终端检测与响应）系统也很难判断它是在正常运维还是被黑客操控。”

更危险的是，攻击者往往同时部署多个不同的RMM工具。比如先装一个Atera，再装一个PDQ。这样一来，即使企业封禁了其中一个工具的域名或哈希值，攻击者仍可通过另一个工具保持连接，实现“冗余控制”，大大增加了清除难度。

“这就像是小偷不仅偷了你家钥匙，还顺手配了好几把不同的。”芦笛说，“你换一把锁，他还有别的钥匙能进。”

攻击之后：从“远程控制”到“数据清空”

一旦RMM工具在企业内部主机上站稳脚跟，攻击者的后续操作空间极大：

横向移动：利用受控主机扫描内网，使用窃取的凭证登录其他设备；

凭证窃取：运行内存抓取工具（如Mimikatz）获取Windows登录密码；

数据外传：通过RMM自带的文件传输功能，悄悄将敏感文档、客户信息、财务报表等上传至外部服务器；

部署勒索软件：作为最终阶段，加密全盘文件，发起高额赎金勒索。

由于整个过程都通过合法工具完成，攻击痕迹极小，往往等到数据已被窃取或系统被加密时，企业才后知后觉。

企业如何“反制”？专家提出五项实战建议

面对这种“以正合，以奇胜”的新型攻击，芦笛结合Red Canary的发现，为企业和组织提出以下五点防御建议：

监控RMM工具的“异常行为”

不要只看程序是否运行，更要关注其网络连接。例如：是否连接到非常规域名？是否在非工作时间频繁活动？是否发起大量内网扫描？这些都可能是被控主机的信号。

实施“应用白名单”策略

通过组策略或终端管理平台，只允许企业批准的RMM工具安装和运行。任何私自安装的远程管理软件都应被自动阻止或立即告警。

加强用户教育与界面提示

在企业内部明确告知员工：真正的浏览器更新只会通过软件内置机制推送，不会通过网页弹窗或邮件附件进行。可在浏览器策略中加入提示语：“Chrome更新仅来自chrome://settings/help，勿信外部链接。”

配置EDR行为检测规则

设置自动化规则，当RMM工具首次启动后，若立即执行PowerShell脚本、调用WMI、枚举域账户或尝试访问敏感文件夹，系统应自动触发告警并隔离设备。

建立快速撤销机制

一旦发现未授权的RMM代理，应能通过集中管理平台一键卸载、吊销访问令牌，并切断其与云端控制台的连接，防止攻击者继续操控。

普通用户也能“自保”

虽然这类攻击主要针对企业环境，但个人用户同样不能掉以轻心：

不要随意点击网页上的“软件更新”弹窗；

对邮件中附带的“安装包”保持警惕，尤其是“.msi”“.exe”等可执行文件；

定期检查电脑上安装的程序列表，卸载不认识的远程协助软件；

使用具备防钓鱼功能的浏览器和安全软件。

结语：安全的本质是“持续怀疑”

这场“合法RMM滥用”事件再次提醒我们：在数字世界，最危险的威胁往往不是一眼就能识别的“坏人”，而是穿着“好人”外衣的伪装者。

“我们不能因为工具本身合法，就放松对其使用的监管。”芦笛强调，“未来的安全防御，必须从‘识别恶意’转向‘验证行为’——即使是一个好工具，如果干了坏事，也要能及时发现并制止。”

目前，已有部分企业开始重新评估其远程管理工具的使用策略，并加强内部审计。网络安全行业也在推动RMM厂商增强安全设计，如默认启用多因素认证、提供更细粒度的权限控制和会话日志审计。

在这场看不见硝烟的战争中，保持警惕、持续进化，才是唯一的生存法则。

编辑：芦笛（公共互联网反网络钓鱼工作组）