导语:2026年5月,卡巴斯基研究人员披露了一起大规模供应链攻击事件——知名磁盘镜像工具DAEMON Tools的官方Windows安装包被恶意篡改,攻击者向合法数字签名的可执行文件中注入了后门程序。从4月8日算起,这场攻击已悄然潜伏近一个月,波及上百个国家,直到安全社区介入才浮出水面。
一、事件概述
DAEMON Tools是一款由拉脱维亚公司AVB Disc Soft开发的光盘镜像挂载工具,全球用户数以百万计此次遭供应链攻击污染的为Windows版本,受影响安装包版本为12.5.0.2421至12.5.0.2434,时间跨度从2026年4月8日一直延续到5月初。
攻击者手法老练:他们直接入侵了DAEMON Tools的构建和发布流水线,将木马植入三个核心组件——DTHelper.exe、DiscSoftBusServiceLite.exe和DTShellHlp.exe。这些文件均携带有效的数字签名,来自AVB Disc Soft的合法证书,用户和杀毒软件默认完全信任。
AVB Disc Soft于5月5日紧急发布了修复版本12.6.0.2445,移除了恶意行为。公司表示此次事件仅影响DAEMON Tools Lite免费版,Pro和Ultra付费版本未受影响。
二、技术剖析:攻击者如何层层渗透
2.1 第一步:供应链投毒
攻击者突破了DAEMON Tools的软件构建环境,在官方安装程序中植入恶意代码。由于最终分发的可执行文件仍然携带合法数字签名,Windows驱动程序签名 enforcement和大多数安全软件的信任链验证在这一步完全失效。
被篡改的三个文件均位于DAEMON Tools主目录,在系统启动阶段就会自动运行。这意味着每次开机,恶意代码都有机会被执行。
2.2 第二步:远控上线
恶意文件激活后,会向外部服务器 env-check.daemontools[.]cc 发送HTTP GET请求。该域名注册于2026年3月27日,显然是攻击者提前准备好的C2节点。收到请求后,C2服务器可以返回任意shell命令,由目标系统的cmd.exe代为执行。
2.3 第三步:payload投递链
根据卡巴斯基的详细分析,攻击者会根据不同目标投放不同层级的payload:
首先,envchk.exe登场——这是一个.NET可执行文件,负责收集受害者系统的全面信息:MAC地址、主机名、DNS域名、运行进程列表、已安装软件清单以及系统语言设置。这些数据被回传到C2服务器,用于判断目标价值。
如果目标”够格”,攻击者会进一步投递cdg.exe和cdg.tmp。后者是一个shellcode加载器,负责解密cdg.tmp中的内容并启动一个极简后门。该后门功能直白:下载文件、执行shell命令、在内存中运行shellcodepayload。
最终,有针对性的高价值目标还会收到一款名为QUIC RAT的远控木马。该木马支持HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3等多种C2通信协议,并具备将恶意payload注入notepad.exe和conhost.exe等合法进程的能力。
三、影响范围:上万次投递,精准锁定政府机构
卡巴斯基遥测数据显示,在攻击活跃期内共检测到数千次针对DAEMON Tools感染主机的后续payload投递尝试。受害者地理分布极广,遍布约上百个国家,其中俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国用户最多。
值得注意的是,大多数感染仅限于信息收集器投放,但最终后门仅交付给了十几个系统——全部集中在俄罗斯、白俄罗斯和泰国的零售、科研、政府和制造机构。这种”广撒网、精准打”的模式表明这是一次有明确目标的网络间谍行动,而非普通的牟利型攻击。
卡巴斯基认为攻击者来自中文语境地区,但目前尚未将其归因于任何已知APT组织。
四、修复与应对
AVB Disc Soft已发布DAEMON Tools Lite 12.6.0.2445版本,移除了恶意文件。建议所有用户:
- 立即卸载当前DAEMON Tools Lite版本
- 使用可信杀毒软件进行全盘扫描
- 从官网重新下载安装最新版本(12.6.0.2445)
对于企业用户,卡巴斯基特别建议:隔离所有安装过DAEMON Tools的主机,进行网络安全排查,防止攻击者在内网的横向移动。
五、总结
这次DAEMON Tools供应链攻击再次验证了一个铁律:供应链才是最高效的攻击路径。当攻击者控制了软件构建和分发环节,所有终端安全检测都形同虚设——毕竟,谁会怀疑从官方网站下载的、有合法数字签名的安装包呢?
防御侧建议:企业应建立软件来源白名单机制,对关键系统使用的第三方软件进行完整性校验,并定期监控网络异常通联行为。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容