该类攻击呈现完整且隐蔽的攻击链路,各环节层层递进,技术规避手段成熟,具体攻击流程如下:
一、攻击全流程解析
1. 搜索欺诈诱导阶段:高仿页面引用户上钩
攻击者首要手段为伪造与正规页面高度相似的钓鱼页面,通过操纵SEO排名使其在搜索引擎结果中获得较高曝光。一旦用户被诱导点击,页面会立即触发重定向机制,同时加载恶意JavaScript脚本(如nice.js),该脚本会暗中窃取设备硬件参数、系统版本等信息,并实时发送至攻击者控制的服务器,完成攻击前的信息搜集。2. 动态载荷投递阶段:捆绑正版软件植入恶意组件
攻击服务器接收到设备信息后,通过两层JSON响应向目标设备下发MSI安装包。该安装包采用“正版软件+恶意组件”的捆绑策略,将知名翻译软件DeepL的安装器与Winos恶意软件变种EnumW.dll组件绑定,利用用户对正版软件的信任降低警惕。安装包运行后会主动提权,在C:\ProgramData\Data_Xowlls目录释放55个恶意碎片文件并激活核心恶意代码,完成攻击载荷的植入。3. 反分析规避阶段:多重检测躲避安全排查
为躲避安全软件监测与人工分析,Winos恶意软件变种加载后会启动多重验证机制:一是进程身份验证,仅允许在msiexec.exe进程中运行,若检测到其他进程则立即退出;二是系统时钟验证,通过两次请求百度获取时间并计算间隔,若小于4秒则判定为分析环境并终止运行;三是虚拟环境识别,通过检查系统ACPI表结构及桌面文件数量,精准识别虚拟机环境并规避。验证通过后,恶意软件会将55个碎片文件重组为恶意数据文件emoji.dat,同时释放填充冗余数据的干扰文件vstdlib.dll,进一步混淆检测视线。4. 持久化植入阶段:按需选择潜伏机制
恶意软件会根据目标设备的防护状态动态选择潜伏策略:若检测到设备安装安全软件,便通过劫持文件管理器进程的方式隐藏自身;若设备防护薄弱,则直接篡改系统启动项,将自身伪装为“Google更新”等常见进程,实现开机自启,确保长期潜伏而不被发现。5. 加密攻击执行阶段:全方位窃取核心信息
攻击最终阶段,恶意软件会创建加密凭证文件venwin.lock,采用每60秒刷新一次的动态AES密钥保障与控制端(C2服务器)通信安全。建立稳定连接后,恶意软件会启动全方位监控功能,包括记录键盘输入、捕获屏幕画面、窃取浏览器保存的账号密码及系统中的加密私钥等敏感信息,实现对目标设备的完全控制。二、安全防护建议
为有效阻断此类攻击,保障信息系统及数据安全,建议相关单位及个人立即采取以下防护措施:- 强化数据备份机制:立即组织核心业务数据排查,建立定期离线备份制度,避免数据被加密后无法恢复。
- 严格软件来源核验:下载软件时务必通过官方渠道,仔细核对域名真实性,拒绝运行来源不明的安装程序,尤其警惕搜索引擎结果中排名异常靠前的陌生下载页面。
- 筑牢系统安全防线:及时修复操作系统及应用软件漏洞,关闭不必要的系统提权通道,部署终端安全软件并更新病毒库,阻断恶意程序的植入与运行。
- 加强安全意识培训:针对员工开展反钓鱼专项培训,重点讲解SEO欺诈页面的识别技巧(如检查域名后缀、页面细节差异)及伪装启动项的辨别方法,提升全员安全防护能力。
- 部署动态监控体系:搭建终端行为监控平台,实时监测异常进程创建、文件篡改、可疑网络连接等行为,对攻击行为做到早发现、早处置。
