在传统的网络安全认知中,用户被反复告诫:不要运行未知来源的程序,不要点击没有数字签名的文件。数字签名,这本是软件世界的“身份证”,象征着开发者的身份可信与代码未被篡改。然而,2026年3月微软安全团队披露的一起最新攻击活动,彻底击碎了这一防线。攻击者不再试图伪造身份,而是直接窃取了“合法”的外衣,利用受信任的数字证书签名恶意软件,通过多段式载荷投递,将远程监控工具(RMM)悄无声息地植入受害者系统。这标志着网络钓鱼攻击已从“欺骗眼睛”进化为“劫持信任”。
一、诱饵的心理学:从“模糊文档”到“紧迫更新”
此次攻击的核心突破口并非技术漏洞,而是对人性的精准操控。微软监测到的攻击活动主要围绕两类极具迷惑性的诱饵展开:伪造的办公文档与仿真的会议邀请。
在典型的攻击场景中,受害者会收到一封看似来自同事或合作伙伴的邮件,附件是一个名为“财务简报.pdf”或“会议议程.pdf”的文件。然而,这并非真正的PDF文档,而是一张精心设计的静态图片。图片模仿了文档阅读器中“内容受限”或“需授权查看”的界面,中央赫然显示一个红色的“在Adobe中打开”按钮。这种设计利用了用户的两个心理弱点:一是对工作内容的好奇心,二是对“操作受阻”时的本能解决冲动。
一旦用户点击图片上的按钮,并不会打开文档,而是被重定向到一个高仿真的钓鱼网站。该网站在视觉上与Adobe官方下载中心几乎无异,并弹出警示框,声称“当前版本过旧,存在安全风险,必须立即更新”。同样的剧本也发生在会议邀请中:攻击者伪造Teams或Zoom的会议链接,诱导用户下载所谓的“兼容性补丁”或“最新版客户端”。在这些场景中,攻击者制造的“紧迫感”迫使用户跳过了常规的核实步骤,直接执行了下载操作。
二、信任的崩塌:合法证书如何沦为帮凶?
如果故事到此为止,这不过是一次普通的钓鱼攻击。但真正令安全界震惊的是后续环节:用户下载并运行的可执行文件,竟然拥有有效的数字签名。
取证分析显示,这些伪装成TeamsSetup.exe、AdobeUpdater.exe的恶意程序,均使用了颁发给“TrustConnect Software PTY LTD”的扩展验证(EV)证书进行签名。在Windows系统中,当用户查看文件属性时,会看到绿色的“数字签名正常”标识,操作系统和安全软件往往会因此降低警惕级别,甚至直接放行。
攻击者获取这些证书的手段通常有三种:一是入侵合法软件开发商窃取私钥;二是注册空壳公司,通过伪造材料骗取证书颁发机构(CA)的信任;三是购买已被黑产控制的证书。无论哪种方式,结果都是一样的:恶意代码披上了“合法”的外衣。这种手法极大地提高了攻击的成功率,因为它利用了用户对操作系统安全机制的天然信赖。历史上,著名的“SolarWinds供应链攻击”也是利用了类似原理,通过篡改合法更新通道分发后门,造成了全球性的安全灾难。而此次2026年的攻击,则将这一手法下沉到了更普遍的钓鱼场景中,使得单点突破变得更加容易。
三、技术深潜:多段式载荷与“生活在地面上”的后门
执行带签名的初始文件只是入侵的开始。为了规避查杀并建立持久控制,攻击者采用了一套精密的多段式(Multi-stage)投递策略。
第一阶段:伪装与驻留
初始载荷运行后,首先会将自身复制到C:\Program Files等系统目录下,并修改文件名以模仿合法软件。随后,它会在Windows注册表中创建新的服务项,配置为开机自启动。此时,该程序会尝试连接攻击者控制的命令与控制(C2)服务器(如trustconnectsoftware[.]com)。由于初始文件带有合法签名,这一阶段的网络行为往往能绕过基于信誉的防火墙规则。
第二阶段:无文件攻击与二次投递
真正的恶意负载并非初始文件本身,而是通过它下载的后续组件。初始程序会执行一段经过高度混淆和编码的PowerShell脚本。这段脚本不从磁盘读取文件,而是直接在内存中运行,从C2服务器拉取真正的远程监控和管理(RMM)工具安装包,如ScreenConnect、Tactical RMM或Mesh Agent。这些工具本是合法的IT运维软件,被称为“生活在地面上的二进制文件”(LOLBins),广泛存在于企业环境中,因此极难被传统杀毒软件识别为恶意软件。
第三阶段:冗余部署与持久化
攻击者深知单一后门容易被发现,因此采取了“冗余控制”策略。在一次入侵中,他们往往同时部署多种RMM工具。例如,先安装ScreenConnect,再通过其执行脚本安装Tactical RMM,进而部署Mesh Agent。每个工具都会在注册表的深层键值中写入配置信息,包括编码的会话ID、回调令牌和服务器地址。即使安全人员清除了其中一个进程,其他潜伏的工具仍能迅速重建连接,确保攻击者对系统的控制权不中断。此外,分析发现,部分被部署的ScreenConnect版本使用的是已被吊销的证书,或是未签名的本地部署版,这种“混合签名状态”进一步增加了检测的难度。
四、破局之道:从“默认信任”到“零信任验证”
面对这种利用合法机制进行的攻击,传统的“黑名单”防御已捉襟见肘。微软在报告中提出的缓解措施,实际上指向了安全策略的根本性转变。
首先,必须重新审视对RMM工具的信任。企业不能默认所有带签名的管理工具都是安全的。应利用Windows Defender应用程序控制(WDAC)或AppLocker,实施严格的白名单策略:仅允许经过明确审批的发布者证书运行,并明确阻止未经授权的RMM软件执行。对于必须使用的RMM工具,应强制启用多因素认证(MFA),并限制其只能在特定的管理网段内通信。
其次,强化端点的行为监测。既然文件签名可能造假,那么行为的异常就无法伪装。安全团队应重点关注那些由办公软件(如Word、PDF阅读器)或浏览器触发的PowerShell执行行为,特别是当这些脚本试图下载并安装系统级服务时。开启云端保护功能,利用实时情报拦截新出现的恶意域名和哈希值。同时,启用“零小时自动清除”(ZAP)技术,即便恶意邮件通过了初始过滤,也能在威胁情报更新后被追溯清除。
最后,提升全员的“怀疑素养”。技术防御总有滞后性,人的警惕性是关键。员工需明白,即使是带有“数字签名正常”标识的文件,如果来源不明或下载路径异常(如通过邮件链接而非官网),也极可能是陷阱。遇到“版本过旧”、“立即更新”等制造恐慌的提示,务必停止操作,通过官方渠道独立核实。
结语
2026年的这起攻击活动揭示了一个残酷的现实:在网络空间,眼见未必为实,“合法”亦可为恶。攻击者正在利用我们对效率的追求和对权威的盲从,将原本用于保护安全的数字证书变成了刺向我们的利刃。防御此类攻击,不再仅仅依赖技术的堆砌,更需要构建一种“零信任”的思维模式——不信任任何未经严格验证的身份,不放过任何细微的行为异常。唯有如此,我们才能在信任崩塌的边缘,重建起坚固的安全防线。
案例来源:Microsoft Defender
作者:芦笛、张鑫中国互联网络信息中心
编辑:芦笛(公共互联网反网络钓鱼工作组)
