网络安全防线正面临一场静默而凶险的渗透。近期,Fortinet 旗下 FortiGuard Labs 的研究团队追踪到一起活跃威胁活动,一种经过深度改造的 PureLogs 信息窃取恶意软件新变种正在野外流窜。与以往版本相比,此次变种的隐蔽层级显著提升,整个入侵链条几乎完全依托 Windows 系统原生组件完成,给传统终端防护带来了极大挑战。
钓鱼邮件仍是撕开防线的老把戏,只是包装得更像真的
攻击的起点往往平淡无奇,却最容易让人放松警惕。受害者会收到一封主题为采购订单的商务邮件,发件人地址经过精心伪造,邮件正文措辞也模仿了真实的商业沟通习惯。附件是一个看似普通的压缩包,里面藏着一个 JavaScript 文件。由于文件名常被伪装成与采购相关的文档,不少用户在匆忙中直接双击打开。
这个 JavaScript 文件并非简单的脚本,而是经过了多层混淆处理。安全工具在静态分析阶段很难一眼看穿它的真实意图,而普通用户更是无从察觉。脚本一旦运行,便会在后台悄然拉响攻击的引线。
从脚本到内存加载:攻击链的层层嵌套
JavaScript 启动后,并不会直接释放恶意程序,而是转而调用 PowerShell。攻击者在磁盘上投放了一个高度混淆的 PowerShell 脚本,其功能在于解码一段加密数据,并在内存中直接加载一个 .NET 模块。整个过程几乎不落盘,文件less 的执行方式让依赖文件扫描的防御机制失去了抓手。
这个 .NET 模块的身份伪装得颇为巧妙。它将自己包装成合法的 Windows 任务计划程序组件,混在系统正常的进程与服务之间,不易引起管理员注意。模块的核心任务是与远程服务器建立通信,并准备下一阶段的有效载荷投递。
进程空心化:把恶意代码塞进微软签名的白进程
此次 PureLogs 变种在技术上最值得警惕的地方,在于它对进程空心化技术的运用,并且选择了一个极为讨巧的宿主进程------MsBuild.exe。
MsBuild.exe 是 .NET Framework 自带的合法构建工具,由微软签名,在开发环境中频繁出现。正因为它是受信任的系统组件,多数终端安全产品默认给予其较高的运行自由度,不会进行深度行为审查。攻击者正是看准了这一点。
具体执行流程相当精细。下载器模块先在受感染系统上定位 MsBuild.exe,随后以挂起状态启动该进程。接着,它提取进程内存空间,将 PureLogs 的最终载荷注入这片已被清空的内存区域,最后恢复线程执行。从表面看,系统中只是多了一个正常的 MsBuild.exe 进程,实际上内里早已被替换成恶意代码。
完成注入的过程中,恶意代码调用了 Windows 原生 API,包括 CreateProcessA、WriteProcessMemory 以及 ResumeThread,整个操作干净利落,不留明显痕迹。载荷本身还套着 .NET Reactor 和 IntelliLock 这类商业混淆工具的外壳,逆向分析人员想要剥开层层保护看清核心逻辑,需要耗费大量时间。
一旦落地,几乎无所不偷
PureLogs 在 MsBuild.exe 体内完全激活后,便在后台持续运行,像一台静默的吸尘器,系统中有价值的数据几乎都会被它纳入收集范围。
浏览器是首当其冲的目标。这款窃密木马能够识别超过八十种浏览器,从主流的 Google Chrome、Mozilla Firefox,到相对小众的 CocCoc、Kinza 等,无一幸免。已保存的登录凭据、Cookie 记录、自动填充的表单数据,都会被它打包抽走。
加密货币钱包同样是重点关照对象。Exodus、Electrum、Atomic Wallet、Binance 等主流软件钱包的相关文件都在其狩猎清单上。对于持有数字资产的用户而言,一旦中招,资产转移可能在几分钟内就会发生。
邮件客户端、FTP 工具以及 VPN 软件也未能幸免。Microsoft Outlook、Thunderbird、Foxmail 的账户配置,FileZilla 的站点管理信息,ProtonVPN 和 OpenVPN 的登录凭证,统统会被加密压缩后通过 HTTPS 通道回传至攻击者的远程服务器。
商业化的窃密工具降低了犯罪门槛
PureLogs 并非某个黑客团伙的专属武器,它已在多个地下论坛作为商业工具公开出售。这意味着,即使是没有太多技术积累的攻击者,只要愿意付费购买,就能获得一套功能完善、持续更新的信息窃取平台。犯罪门槛的降低,直接导致了此类威胁活动的泛滥。Fortinet 研究人员在报告中特别指出,该工具的多场景适配能力让它在各种规模的网络环境中都能找到下手的机会。
防御端该如何应对?
面对这种高度依赖系统白名单进程的攻击模式,传统的黑名单拦截思路显得力不从心。安全团队需要从多个维度收紧防线。
邮件网关层面,建议对附件中的 JavaScript 文件执行严格管控,要么直接阻断,要么强制送入沙箱完成动态行为分析后再决定是否放行。终端侧,应加强对 PowerShell 异常行为的监控,特别是那些涉及内存加载、无文件执行的调用模式。
进程行为管控同样关键。安全策略应当限制非必要进程创建子进程或发起网络连接的能力,即便是 MsBuild.exe 这类系统工具,也不应在非开发环境下随意建立外部通信。网络分段与最小权限原则在此类威胁面前依然有效。
当然,技术防线之外,人的因素不可忽视。针对采购订单、发票、付款通知等主题的钓鱼邮件,依然是当前最高频的初始入侵向量。定期对员工进行安全意识培训,教会他们识别邮件中的可疑发件人、异常附件类型以及紧迫性措辞,往往比任何高级安全设备都更早一步阻断攻击。
相关入侵指标(IoC)参考
以下文件与进程特征可用于辅助威胁狩猎与日志排查,安全运营团队可将其纳入 SIEM 或 MISP 平台做关联检测:
-
恶意 JavaScript 文件名:
pankocrs.js -
中间 PowerShell 脚本名:
ps_qnSEGUkU0LIY_1777592585573.ps1 -
内存加载的 DLL 模块:
zgSGkYYzqVe.dll -
下载器 C# 模块标识:
miySTll -
被滥用的合法进程:
MsBuild.exe -
下载器入口方法:
tiyvIXAqfXvogv46vck.opr2xfZUr15bo4oEyY.zYwtW19n4() -
典型 PowerShell 调用特征:
Invoke-AssemblyMethod、Invoke-Expression -
目标数据路径:
%LocalAppData%\Microsoft\Edge\User Data\Default\Login Data -
C2 通信方式:
HTTPS(HttpClient.GetAsync())
需要说明的是,相关 IP 地址与域名已在公开报告中做脱敏处理,实际运营中请通过受控的威胁情报平台获取完整 IoC 数据,避免直接解析或访问可疑域名。