新闻公告使用手机扫一扫查看
< 返回

伪装成微软工具的恶意程序曝光

2026-07-17 16:57 作者:数掘云算 阅读量:3

凌晨2点,某企业安全监控平台突然发现一台办公终端存在异常外联行为。

从流量表现来看:

  • HTTPS通信正常;
  • 目标IP属于知名云网络节点;
  • User-Agent模拟Chrome浏览器;
  • 请求路径符合普通Web API格式。

如果只看网络层数据,这几乎就是一次普通互联网访问。

但安全团队进一步分析发现:

这台终端正在持续向攻击者控制服务器发送加密数据。

更令人意外的是:

攻击程序并不是一个常见病毒文件。

它伪装成微软官方工具 GPUView.exe。

文件名称、图标、数字签名信息,都试图制造“可信软件”的假象。

然而在程序内部,却隐藏着完整的 Cobalt Strike Loader 攻击链。

攻击者通过:

  • 修改PE结构;
  • 覆盖程序入口点;
  • 资源段隐藏Payload;
  • VEH异常驱动解密;
  • 内存加载执行;

让恶意代码成功绕过传统检测机制。

这类攻击正在成为企业安全防护的新挑战。


一、为什么攻击者越来越喜欢伪装成“正常软件”?

过去几年,企业安全设备不断增强。

传统攻击方式:

下载病毒文件 → 执行 → 建立连接

已经越来越容易被发现。

因此攻击者开始改变策略。

他们不再追求:

“制造一个明显恶意的软件。”

而是:

“制造一个看起来完全正常的软件。”

例如:

  • Windows系统工具;
  • 浏览器组件;
  • 驱动程序;
  • 开发工具;
  • 运维软件。

因为用户和安全设备天然会给予这些程序更高信任度。

此次样本正是利用这一心理。

攻击者选择微软生态工具作为外壳,让恶意代码隐藏在正常程序生命周期中。


二、一份普通Windows工具,为什么变成攻击入口?

分析发现,该样本表面上是 Windows SDK 中的 GPUView 工具。

GPUView 本身用于:

  • GPU性能分析;
  • 图形渲染调试;
  • Windows开发测试。

属于微软官方工具链。

攻击者并没有重新编写一个程序,而是直接对原始PE文件进行修改。

这种方式有几个优势:

第一:

降低用户怀疑。

第二:

增加安全软件信任评分。

第三:

绕过部分基于文件信誉的检测。

这也是近年来“Living off Trusted Software”(利用可信软件环境)攻击趋势的一部分。


三、第一阶段攻击:入口点被替换,程序启动即进入攻击流程

正常Windows程序:

用户双击文件:

PE加载器读取文件

定位EntryPoint

执行程序代码

而攻击样本:

用户双击文件:

Windows加载PE

进入攻击者修改后的入口

执行Shellcode

攻击者首先覆盖原始入口点。

这个Shellcode不会立即展示恶意行为,而是先完成环境初始化。

包括:

  • 动态寻找系统API;
  • 获取内存申请能力;
  • 定位资源区域;
  • 加载下一阶段Payload。

这种方式避免导入表直接暴露:

VirtualAlloc

CreateThread

LoadLibrary

等敏感函数。


四、第二阶段攻击:4KB页面级解密,让安全软件看到“空白”

这是整个攻击链最核心的技术。

普通恶意代码:

加密Payload:

运行时整体解密:

执行

问题:

完整代码会瞬间暴露。

安全软件可以:

  • 扫描内存;
  • dump进程;
  • 分析Shellcode。

而该样本采用:

VEH(Vectored Exception Handler)

技术。

简单来说:

攻击代码故意保持加密。

当CPU准备执行某个区域时:

触发异常

进入异常处理函数

临时解密当前4KB页面

恢复执行

执行结束:

重新加密

最终效果:

整个攻击代码永远不会完整出现在内存中。

安全人员抓取内存时,只能看到碎片。


五、第三阶段攻击:多功能Loader隐藏最终Payload

攻击者没有直接加载Cobalt Strike。

而是设计了一层Loader。

这个Loader负责:

  • 解压Payload;
  • 解析PE结构;
  • 修复导入;
  • 分配内存;
  • 调整执行权限。

同时支持多种执行模式:

PE加载

直接将PE映射到内存。

.NET程序集执行

类似execute-assembly。

脚本执行

支持内存脚本运行。

这种设计意味着:

攻击者只需要更换最后Payload,就可以快速生成不同攻击工具。


六、第四阶段攻击:魔改PE,让分析工具失效

为了增加逆向难度,攻击者进一步修改PE结构。

包括:

修改MZ/PE标识

正常文件:

MZ

PE

样本:

替换关键Magic值。

导致:

  • 普通工具无法识别;
  • 自动分析失败。

隐藏入口地址

标准PE:

入口位置固定。

攻击者:

将入口信息移动到自定义位置。

分析工具读取错误地址后:

无法正常执行。


加密API名称

正常:

kernel32.dll

VirtualProtect

CreateThread

样本:

全部隐藏。

运行时动态恢复。


七、最终目标:Cobalt Strike Beacon现身

经过完整还原后发现:

最终Payload为:

Cobalt Strike Beacon。

通信方式:

HTTPS。

攻击服务器:

隐藏于多个域名。

通信数据:

采用:

  • Base64 URL编码;
  • XOR随机混淆;
  • Cookie隐藏字段。

攻击者模拟正常浏览器:

User-Agent:

Chrome

请求:

GET /api/v1/get

POST /api/v1/post

从流量层面看:

与正常Web访问高度相似。


八、为什么传统安全检测正在失效?

过去:

病毒文件检测。

现在:

攻击行为检测。

原因:

攻击者已经开始:

文件无恶意特征;

流量无明显异常;

程序有合法外观;

代码运行于内存。

因此企业需要:

从“查病毒”

升级到:

“识别攻击行为”


九、企业应该如何防御?

1. 加强终端行为检测

关注:

  • 异常进程链;
  • 内存执行;
  • 异常线程;
  • 权限变化。

2. 建立网络侧检测能力

关注:

  • TLS指纹;
  • JA3/JA4;
  • DNS异常;
  • C2周期通信。

3. 引入威胁情报能力

结合:

  • IP信誉;
  • 域名历史;
  • 攻击画像。

4. 构建安全运营体系

攻击不是一次事件。

需要:

发现 → 分析 → 响应 → 复盘。


贵州数掘科技安全观察

当前网络攻击正在从“恶意软件时代”进入“隐蔽攻击时代”。

攻击者越来越善于利用:

  • 合法软件;
  • 云资源;
  • 加密通信;
  • 内存执行;

隐藏真实目的。

企业安全建设不能只依靠单一防护设备,而需要结合:

网络安全防护、
业务安全保障、
威胁检测、
安全运营。

贵州数掘科技持续关注高级攻击技术演进,通过自主研发安全防护体系,为企业提供更加稳定、高效的网络安全保障能力。

联系我们
返回顶部