OneClik 惡意軟體
一個名為OneClik的複雜網路攻擊活動正針對能源、石油和天然氣產業,使用欺騙性部署方法和客製化惡意軟體。這次行動的核心是濫用微軟的ClickOnce技術和一個名為RunnerBeacon的基於Golang的強大後門。儘管有跡象顯示該攻擊活動可能與中國威脅行為者有關,但其歸屬仍不確定。
目錄
ClickOnce:雙刃部署工具
微軟的 ClickOnce 旨在簡化 Windows 應用程式的部署和更新流程,允許以最少的使用者互動完成安裝。此功能於 .NET Framework 2.0 中引入,允許應用程式以有限的權限運行,而無需管理權限。
不幸的是,這種便利性也使 ClickOnce 成為網路犯罪分子的寶貴資產。惡意應用程式可以透過受信任的 Windows 二進位檔案 (dfsvc.exe) 進行部署,該程式負責處理 ClickOnce 應用。這些應用程式作為 dfsvc.exe 的子程序執行,使攻擊者能夠秘密執行惡意程式碼,而無需觸發安全警報或提升權限。
滲透策略:網路釣魚與欺騙
攻擊鏈始於精心設計的釣魚郵件,這些郵件將受害者引誘到一個虛假的硬體分析網站。一旦受害者造訪該網站,就會利用 dfsvc.exe 傳遞並啟動一個惡意的 ClickOnce 應用程式。
該載入器使用一種名為 AppDomainManager 注入的方法將惡意程式碼注入內存,從而執行加密的 Shellcode。最終的有效載荷是 RunnerBeacon,一個複雜的 Golang 後閘。
RunnerBeacon:一款強大、用途廣泛的植入物
RunnerBeacon 後門設計可支援多種功能,包括:
- 透過多種協定進行通訊:HTTP(S)、WebSockets、原始 TCP 和 SMB 命名管道
- 執行shell命令和檔案系統操作
- 進程枚舉和終止
- 透過令牌盜竊和冒充來提升權限
- 網路內的橫向移動
它還具有先進的反分析和逃避技術,以及對連接埠掃描、連接埠轉送和 SOCKS5 代理等網路中心操作的支援。
Geacon 的克隆人?
RunnerBeacon 與基於 Go 的 Cobalt Strike 變體(例如 Geacon、Geacon Plus 和 Geacon Pro)表現出強烈的相似性。它沿襲了 Geacon 的命令結構、跨協定通訊功能和操作靈活性。這些特性表明,RunnerBeacon 可能是 Geacon 的定製版或演化版,經過改進後可以無縫融入雲端環境。
威脅不斷演進:偵測到多種變體
光是 2025 年 3 月,網路安全研究人員就發現了三種不同的 OneClik 變體:
- v1a
- BPI-MDM
- v1d
每個版本都包含增強隱身和繞過偵測系統的改進。然而,早在2023年9月,中東一家石油和天然氣公司就發現了RunnerBeacon的蹤跡,顯示該技術仍在開發和測試中。
技術與歸因:熟悉但未經證實
AppDomainManager 注入是一種眾所周知的攻擊手段,先前在中國和北韓威脅行為者的網路攻擊活動中也曾出現過類似的攻擊。然而,儘管技術和方法相似,研究人員仍未能最終確定 OneClik 攻擊活動是由哪個已知組織發起的。
在識別入侵跡象方面,組織應警惕那些將收件人引導至欺詐性硬體分析網站的釣魚郵件,因為這些網站往往是攻擊的初始入口點。另一個危險信號是使用透過 dfsvc.exe 進程啟動的 ClickOnce 應用程序,這可能表明存在惡意負載。可疑的 AppDomainManager 注入技術部署以及與託管在 Amazon Web Services (AWS) 上的攻擊者控制的基礎設施建立出站連接也是入侵的強烈跡象。
為了防禦此類威脅,企業應考慮停用或密切監控 ClickOnce 部署,尤其是在高風險環境中。安全團隊應密切注意源自 dfsvc.exe 的異常子進程,這些進程可能預示著惡意活動。部署端點偵測和回應 (EDR) 解決方案有助於識別和緩解 AppDomain 注入行為。此外,檢查網路流量中是否有異常協定使用情況(例如意外的代理行為或連接埠轉送嘗試),有助於偵測隱藏的通訊通道。
結論
OneClik 攻擊活動凸顯了攻擊者如何不斷改進其攻擊策略,以利用合法技術。對於關鍵基礎設施領域的組織而言,保持警惕並實施多層安全防禦措施對於減輕此類進階威脅的影響仍然至關重要。
