近日，F(xiàn)ortinet 全球威脅研究與響應(yīng)實(shí)驗(yàn)室（FortiGuard Labs）監(jiān)測到一起針對中文用戶的大規(guī)模 SEO ( Search Engine Optimization ) 投毒攻擊活動，涉及仿冒 DeepL 等知名軟件的虛假網(wǎng)站、高度混淆的惡意攻擊載荷及多階段攻擊鏈。Fortinet 中國區(qū)技術(shù)總監(jiān)張略深入解讀了此次攻擊的技術(shù)特點(diǎn)與安全啟示。

攻擊技術(shù)實(shí)現(xiàn)與搜索引擎優(yōu)化深度融合

總體來看，此類攻擊呈現(xiàn)出專業(yè)化、持久化和高隱蔽性特征，反映出網(wǎng)絡(luò)犯罪團(tuán)伙正在不斷優(yōu)化其攻擊工具和方法，企業(yè)應(yīng)盡快構(gòu)建覆蓋 " 終端 - 網(wǎng)絡(luò) - 情報 - 響應(yīng) " 的多維防護(hù)體系。

此次攻擊的創(chuàng)新之處首先在于其對 SEO 機(jī)制的精準(zhǔn)操控。攻擊者通過注冊與合法網(wǎng)站高度相似的域名（如 deepl-fanyi [ . ] com），并利用 SEO 插件操縱搜索引擎排名，使惡意網(wǎng)站在搜索結(jié)果中獲得靠前位置。此外，這種手法的特別之處還在于，攻擊者甚至在 HTML 源代碼中嵌入特定注釋信息以增強(qiáng)隱蔽性，這使得普通用戶很難辨別網(wǎng)站真?zhèn)巍?/p>

在技術(shù)實(shí)現(xiàn)層面，攻擊鏈采用多階段動態(tài)加載機(jī)制。通過 nice.js 腳本發(fā)起初始請求，獲取二級下載鏈接，最終投放將合法應(yīng)用與惡意組件捆綁的 MSI 安裝包，并利用 Windows Installer 的 CustomAction 機(jī)制觸發(fā)惡意代碼執(zhí)行，這種 " 合法包裝 " 的策略使安全檢測難度倍增。這種精心設(shè)計的流程使得用戶在不知不覺中下載并安裝了惡意軟件，凸顯出現(xiàn)代網(wǎng)絡(luò)攻擊的高度欺騙性。

反檢測能力顯著提升，針對性對抗安全軟件

FortiGuard Labs 深入分析顯示，該惡意軟件家族（被評估為 Winos 變體）采用了多層次的反分析技術(shù)：

· 進(jìn)程驗(yàn)證：僅在父進(jìn)程為 msiexec.exe（Windows Installer）時才執(zhí)行，有效規(guī)避沙箱環(huán)境檢測

· 休眠完整性檢查：通過向百度發(fā)送兩次 HTTP 請求并計算間隔，判斷是否在分析環(huán)境中運(yùn)行

· ACPI 表檢查：通過檢測桌面文件數(shù)量和 ACPI 表特征，識別虛擬化環(huán)境

這些技術(shù)手段表明，攻擊者已具備相當(dāng)高的技術(shù)水平，能夠針對主流安全工具的檢測機(jī)制進(jìn)行精準(zhǔn)規(guī)避。更令人不安的是，惡意軟件還會針對 360TotalSecurity 等中文環(huán)境常用安全軟件進(jìn)行針對性規(guī)避，通過搶占資源消耗干擾分析效率，這種 " 本土化 " 的攻擊策略使得中文用戶面臨更高風(fēng)險。

模塊化架構(gòu)支持靈活攻擊與持久化控制

FortiGuard Labs 分析表明，該惡意軟件采用高度模塊化的 " 心跳 - 監(jiān)控 - 命令控制 " 三重架構(gòu)，展現(xiàn)出相當(dāng)成熟的攻擊能力。心跳模塊負(fù)責(zé)持續(xù)采集系統(tǒng)信息、用戶身份、防病毒軟件狀態(tài)和運(yùn)行進(jìn)程；監(jiān)控模塊則專注于跟蹤焦點(diǎn)窗口、持久化狀態(tài)和配置文件變化；命令控制模塊支持多達(dá) 17 類遠(yuǎn)程指令，包括插件注入、鍵盤記錄、加密錢包劫持和屏幕捕捉等高級功能。

此外，攻擊者還建立了完善的插件體系，可根據(jù)需要動態(tài)投遞功能模塊。觀察到的插件包括 DifferentScreen.bin、Telegram.bin 等，這些插件進(jìn)一步擴(kuò)展了攻擊范圍，使威脅行為者能夠根據(jù)特定目標(biāo)靈活調(diào)整攻擊策略，顯示出攻擊者具備高度的組織化和專業(yè)化特征。

SEO 投毒攻擊揭示網(wǎng)絡(luò)安全威脅關(guān)鍵趨勢

此次攻擊事件揭示了網(wǎng)絡(luò)安全威脅的幾個關(guān)鍵趨勢：

1. 攻擊本土化：攻擊者越來越擅長針對特定語言和地區(qū)的用戶設(shè)計攻擊策略，中文環(huán)境成為重點(diǎn)目標(biāo)。

2. 攻擊復(fù)雜化：從簡單的惡意軟件下載，發(fā)展為包含多層規(guī)避、復(fù)雜通信和數(shù)據(jù)竊取的完整攻擊鏈。

3. 攻擊經(jīng)濟(jì)化：加密貨幣劫持功能的加入，表明攻擊者已將網(wǎng)絡(luò)安全威脅與經(jīng)濟(jì)利益緊密結(jié)合。

企業(yè)防護(hù)需要體系化升級與主動防御能力

面對快速演進(jìn)的 SEO 投毒攻擊，張略建議采取以下多層面防護(hù)策略：

用戶層面：下載軟件時務(wù)必核對域名，避免點(diǎn)擊搜索結(jié)果中排名靠前但域名不正規(guī)的鏈接；優(yōu)先使用官方渠道下載軟件。

企業(yè)層面：部署具備 AI 驅(qū)動的威脅防護(hù)系統(tǒng)，如 FortiGuard Antivirus，可有效檢測并攔截 W64/Agent.D31A!tr、W64/ShellCodeLoader.6BFD!tr 等惡意軟件變種。

技術(shù)層面：強(qiáng)化端點(diǎn)防護(hù)，特別是對 Windows Installer 和注冊表操作的監(jiān)控；啟用內(nèi)容解除和重構(gòu)服務(wù)，防止文檔中嵌入的惡意宏。

認(rèn)知層面：加強(qiáng)安全意識培訓(xùn)，幫助用戶識別 SEO 投毒攻擊的特征，特別是在中文環(huán)境下使用軟件時的域名驗(yàn)證。

Fortinet 一體化安全架構(gòu)提供全面防護(hù)

基于 FortiGuard Labs 的研究成果，F(xiàn)ortinet 已經(jīng)實(shí)現(xiàn)對相關(guān)攻擊活動的全鏈路覆蓋檢測，惡意攻擊載荷可被準(zhǔn)確識別。通過 FortiGate、FortiEDR、FortiClient 等產(chǎn)品的協(xié)同聯(lián)動，可以有效防御從初始投毒、惡意代碼執(zhí)行到橫向移動的完整攻擊鏈。

Fortinet 將持續(xù)協(xié)同全球威脅情報網(wǎng)絡(luò)和本地安全團(tuán)隊，為企業(yè)提供實(shí)時防護(hù)更新和事件響應(yīng)支持。建議用戶全面啟用 FortiGuard AI 驅(qū)動沙箱、應(yīng)用程序防火墻及終端行為檢測功能，構(gòu)建多層次、主動式的安全防護(hù)體系，實(shí)現(xiàn)對未知威脅的提前攔截和有效管控。

隨著數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡(luò)攻擊手段也在不斷演進(jìn)。企業(yè)需要保持高度警惕，采用更加智能和集成的安全解決方案，才能在這場持續(xù)演進(jìn)的安全攻防戰(zhàn)中保持主動，確保業(yè)務(wù)安全和數(shù)據(jù)保護(hù)。Fortinet 將繼續(xù)致力于為企業(yè)提供全方位的網(wǎng)絡(luò)安全保障，共同應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境。