OneClik 恶意软件
一个名为OneClik的复杂网络攻击活动正针对能源、石油和天然气行业,使用欺骗性部署方法和定制恶意软件。此次行动的核心是滥用微软的ClickOnce技术和一个名为RunnerBeacon的基于Golang的强大后门。尽管有迹象表明该攻击活动可能与中国威胁行为者有关,但其归属仍不确定。
目录
ClickOnce:双刃部署工具
微软的 ClickOnce 旨在简化 Windows 应用程序的部署和更新流程,允许以最少的用户交互完成安装。此功能于 .NET Framework 2.0 中引入,允许应用程序以有限的权限运行,而无需管理权限。
不幸的是,这种便利也使 ClickOnce 成为网络犯罪分子的宝贵资产。恶意应用程序可以通过受信任的 Windows 二进制文件 (dfsvc.exe) 进行部署,该程序负责处理 ClickOnce 应用。这些应用作为 dfsvc.exe 的子进程执行,使攻击者能够秘密运行恶意代码,而无需触发安全警报或提升权限。
渗透策略:网络钓鱼和欺骗
攻击链始于精心设计的钓鱼邮件,这些邮件会将受害者引诱到一个虚假的硬件分析网站。一旦受害者访问该网站,就会利用 dfsvc.exe 传递并启动一个恶意的 ClickOnce 应用程序。
该加载程序使用一种名为 AppDomainManager 注入的方法将恶意代码注入内存,从而执行加密的 Shellcode。最终的有效载荷是 RunnerBeacon,一个复杂的 Golang 后门。
RunnerBeacon:一款功能强大且用途广泛的植入物
RunnerBeacon 后门旨在支持多种功能,包括:
- 通过多种协议进行通信:HTTP(S)、WebSockets、原始 TCP 和 SMB 命名管道
- 执行shell命令和文件系统操作
- 进程枚举和终止
- 通过令牌盗窃和冒充来提升权限
- 网络内的横向移动
它还具有先进的反分析和逃避技术,以及对端口扫描、端口转发和 SOCKS5 代理等网络中心操作的支持。
Geacon 的克隆人?
RunnerBeacon 与基于 Go 的 Cobalt Strike 变体(例如 Geacon、Geacon Plus 和 Geacon Pro)表现出很强的相似性。它沿袭了 Geacon 的命令结构、跨协议通信功能和操作灵活性。这些特性表明,RunnerBeacon 可能是 Geacon 的定制版或进化版,经过改进后可以无缝融入云环境。
威胁不断演变:检测到多种变体
仅在 2025 年 3 月,网络安全研究人员就发现了三种不同的 OneClik 变体:
- v1a
- BPI-MDM
- v1d
每个版本都包含增强隐身和绕过检测系统的改进。然而,早在2023年9月,中东一家石油和天然气公司就发现了RunnerBeacon的踪迹,表明该技术仍在开发和测试中。
技术和归因:熟悉但未经证实
AppDomainManager 注入是一种众所周知的攻击手段,此前在中国和朝鲜威胁行为者的网络攻击活动中也曾出现过类似的攻击。然而,尽管技术和方法相似,研究人员仍未能最终确定 OneClik 攻击活动是由哪个已知组织发起的。
在识别入侵迹象方面,组织应警惕那些将收件人引导至欺诈性硬件分析网站的钓鱼邮件,因为这些网站往往是攻击的初始入口点。另一个危险信号是使用通过 dfsvc.exe 进程启动的 ClickOnce 应用程序,这可能表明存在恶意负载。可疑的 AppDomainManager 注入技术部署以及与托管在 Amazon Web Services (AWS) 上的攻击者控制的基础设施建立出站连接也是入侵的强烈迹象。
为了防御此类威胁,企业应考虑禁用或密切监控 ClickOnce 部署,尤其是在高风险环境中。安全团队应密切关注源自 dfsvc.exe 的异常子进程,这些进程可能预示着恶意活动。部署端点检测和响应 (EDR) 解决方案有助于识别和缓解 AppDomain 注入行为。此外,检查网络流量中是否存在异常协议使用情况(例如意外的代理行为或端口转发尝试),有助于检测隐蔽的通信通道。
结论
OneClik 攻击活动凸显了攻击者如何不断改进其攻击策略,以利用合法技术。对于关键基础设施领域的组织而言,保持警惕并实施多层安全防御措施对于减轻此类高级威胁的影响仍然至关重要。
