北京
签了名的软件就代表安全吗?这大概是运维人员最近最想吐槽的问题。一个天天在眼皮底下转的工具,居然能被人换个壳,再拿一张真的数字证书披上合法的外衣,大摇大摆地从系统安全防线里走过去。那些年我们帮同事重装系统时反复强调“认准官方数字签名”的经验,现在看来得重新掂量一下了。
K7安全实验室最近披露了一起专门针对企业运维的攻击。攻击者伪造的对象叫RVTools,一个让管理员又爱又恨的老伙计。这东西平时不显山不露水,但手里攥着的系统权限大得吓人。在企业环境里,管虚拟化的人,往往也是离核心数据最近的人。攻击者显然不是随便找了个软件下手,挑它来伪装,背后的小算盘打得噼里啪啦响。
一份Sectigo颁发的有效证书,装在伪装成RVTools的安装包里,就这么骗过了Windows SmartScreen。证书上挂靠的是一家叫厦門倫緯華格網絡的公司,听起来像个空壳。在传递那一刻,所有验证机制完全正常,安全警告一个都没弹。攻击者把一个要命的包裹打扮得像寄往财务室的发票信封,收发室自然直接放行。
安装包打的是标准MSI文件,外面还套着最终用户协议那一套流程。管理员天天对着这些东西,看到数字签名没报红,协议弹窗一点,习惯性地就给了系统权限。谁有闲心去怀疑一个日常工具?这份对签名软件的习惯性信任,恰好成了攻击最好的掩护。
一旦管理员交出权限,藏在MSI二进制表里的脚本就悄悄启动了。整个过程像个静默的拆弹专家反向操作,一边用十进制转字符的把戏把恶意指令藏得严严实实,一边在不惊动任何监控的情况下把触角伸向系统深处。
第一步是信息侦察。脚本会悄悄扫一遍计算机配置、网络环境和正在跑的进程,像是在给受害者画一张详细的地形图。第二步拉取外部载荷。一个大约33MB的压缩包从网盘链接拖下来,解压到应用数据文件夹里。这招的关键在于包装艺术:压缩包里塞的是便携式的Python环境,带着VS Code、Spyder、Jupyter Lab这些工具。一堆正经软件中间夹着恶意脚本,文件系统审计时扫一眼也看不出毛病。
第三步建立远程控制通道。系统重启后,藏在后台的Python远控木马每5分钟就向外部地址回传一次信息。攻击者由此获得一个稳定渠道,想传文件、下命令、翻数据库,都是手到擒来的事。整个过程花不了几分钟,却足够让一个管理员账户彻底沦陷。
安全团队给这场攻击的评价是“完全有组织的三个阶段的攻击”。每个阶段都踩在运维习惯的盲区上。攻击者不是随便尝试,而是精心设计了一整套利用信任链条、绕过验证机制、建立隐蔽通道的方案。看得出,他们对企业IT环境的工作流程了如指掌,知道管理员怎么思考、怎么操作、怎么做出信任决策。
证书现在已经被吊销了。但这给了我们一个警示:对于那些没开启执行时实时证书检查的环境来说,事后吊销意味着攻击已经完成了。如果安全策略还停留在“看签名过不过”的阶段,那这次攻击展现的恰恰是这种思路的致命短板。签名有效,恶意依然成立。
运维圈有个老生常谈的规矩:不管什么软件,从官方渠道下载,核对校验值。这话说起来简单,但在真实工作场景里,来自第三方的工具因为能解决官方没顾上的问题,往往在管理员之间口口相传。这次被盯上的就是一个这样的工具,说明攻击者的情报收集已经深入到社区文化层面。
把恶意代码拆碎了塞进一堆合法工具里,再用一张真证书为整个包裹背书。这种手法之所以嚣张,不是因为技术有多惊艳,而是因为每一步都恰好踩在安全策略与管理员习惯之间的灰色地带。日常安全检查面对这种组合拳,实在太吃亏了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
