守护程序工具后门：长达一个月的供应链攻击

一次重大的供应链攻击已经损害了 Daemon Tools，这是跨 Windows 系统安装和管理磁盘映像的最广泛使用的应用程序之一。卡巴斯基安全研究人员证实，这款流行软件已遭受 4 月初开始的复杂后门攻击，并且在披露时仍在积极传播恶意代码。这对信任该应用程序官方分发渠道的用户构成了严重威胁，因为受感染的安装程序是使用开发人员的合法证书进行数字签名并通过其官方网站分发的。

卡巴斯基周二首次报告了此次攻击，展示了威胁行为者如何利用可信软件分发机制大规模传播恶意软件。 Daemon Tools 的受损版本（特别是版本 12.5.0.2421 到 12.5.0.2434）经过精心设计，可以在系统启动时自动执行恶意代码。在受影响的时间范围内下载并安装这些版本的用户收到了木马可执行文件，由于正确的数字签名，这些可执行文件看起来是合法的。事实上，恶意软件在系统重新启动后仍然存在，这使得临时用户在没有专业安全知识的情况下特别难以检测和删除。

根据卡巴斯基提供的技术分析，后门感染似乎专门针对 Windows 操作系统，macOS 和 Linux 用户不受此特定活动的影响。负责 Daemon Tools 的开发商 AVB 尚未就受损程度或其应对措施发表官方评论。安全专家指出，使用有效的数字证书使得最终用户极难防御此类攻击，因为标准安全警告和验证检查通过后不会引发怀疑。

受感染版本中包含的初始恶意软件负载会执行广泛的系统侦察，收集敏感信息，为攻击者提供有价值的侦察数据。恶意代码收集 MAC 地址、系统主机名、DNS 域名、正在运行的进程列表、已安装的软件清单和系统区域设置。然后，这些信息被传输到攻击者控制的命令和控制服务器，从而允许威胁行为者构建每个受感染系统及其环境的详细配置文件。数据收集阶段代表了复杂的针对性攻击的典型早期阶段，攻击者在此阶段评估哪些系统值得进一步利用。

此次安全事件的规模非常巨大，卡巴斯基记录了 100 多个国家/地区的数千台计算机已通过受损的 Daemon Tools 更新受到感染。这种全球分布凸显了利用合法软件分发渠道的供应链攻击的范围和影响。初始感染的广泛性（影响数千个系统）表明，在针对拥有大量用户群的流行应用程序时，这种攻击媒介是多么有效。

但是，攻击似乎遵循选择性目标策略，攻击者仔细选择哪些受感染的系统接收额外的恶意负载。在最初受到侦察恶意软件攻击的数千台机器中，只有大约 12 台系统已升级以接收包含更复杂或有针对性的恶意软件的后续有效负载。这些选定的目标属于零售、科学、政府和制造部门的组织，这表明攻击者正在针对特定行业或组织追求特定目标。这个次要目标阶段强烈表明这是一次有针对性的供应链活动，而不是不加区别的恶意软件分发。

攻击者采用的方法揭示了对如何有效利用软件供应链的深入了解。通过破坏官方分发渠道并维护有效的数字签名，威胁行为者绕过了组织赖以防范恶意软件的许多传统安全控制措施。遵循最佳实践（例如仅从官方来源下载软件并验证数字签名）的用户仍然会受到此活动的感染，从而使其成为一种特别阴险的攻击形式，利用软件开发人员与其用户之间的信任关系。

安全研究人员强调，这一事件凸显了在发现供应链泄露时软件透明度和开发人员快速沟通的至关重要性。卡巴斯基披露信息时，恶意更新的持续活跃分发表明该攻击在很长一段时间内未被检测到，在此期间可能有数千名其他用户受到损害。该时间表引发了一些重要问题，即开发人员的基础设施处于攻击者控制之下的时间有多长，以及在长达一个月的活动期间可能访问了哪些其他系统。

此Daemon Tools 泄露的影响不仅限于个人用户，还延伸至该软件通常用于系统管理、测试和开发目的的企业环境。在其基础设施中运行 Daemon Tools 的组织可能需要进行全面的系统审核，以确定哪些计算机在受影响的版本时间范围内受到损害。初始有效负载收集的侦察数据可以为攻击者提供有关企业网络的宝贵情报，从而可能导致进一步的入侵或数据盗窃。

卡巴斯基发现和披露此攻击为更广泛的安全社区提供了一项重要服务，因为它向用户和组织发出威胁警报，并提供帮助安全团队识别受影响系统的技术详细信息。该安全公司的分析提供了有关攻击如何进行的取证证据，以及组织可以寻找哪些指标来确定其系统是否受到损害。然而，无法立即联系卡巴斯基和开发人员以获取更多详细信息，这一事实引发了人们对主动安全事件期间协调和沟通的担忧。

Daemon Tools 用户如果安装了 12.5.0.2421 和 12.5.0.2434 之间的任何版本，应立即检查其安装的版本并更新到最新的修补版本。组织还应使用更新的防病毒和端点检测工具进行系统扫描，寻找恶意软件的迹象或与命令和控制服务器的任何可疑的出站连接。 事件响应流程可能需要的不仅仅是更新软件，因为接收后续有效负载的系统可能安装了额外的后门或持久访问机制，需要专门的取证调查和修复。

这次供应链攻击清醒地提醒人们，全球软件用户和组织面临着不断变化的威胁形势。对合法分发渠道和有效数字证书的复杂利用表明，尽管有传统的安全控制措施，攻击者仍不断寻找创新方法来破坏系统。随着软件供应链变得越来越复杂和相互关联，此类攻击的潜在影响越来越大，因此开发人员和用户都必须保持警惕并实施分层安全策略，以便在发生广泛损害之前检测并响应受感染的软件。