伊朗黑客用.NET劫持術輕松繞過殺軟

安全研究員盯著屏幕，手邊的咖啡已經涼透。后臺告警面板上，位于美國的目標機器一個接一個地彈出感染信號，但所有的終端檢測與響應系統都安安靜靜，沒發出任何預警。這場貓鼠游戲里，老鼠學會了關掉監控攝像頭，而且用的還是房子主人親手寫的配置。

從2026年2月28日起，一波區域性沖突點燃了，同一時間，一場網絡間諜行動踩著沖突的時間線快速鋪開。Unit 42 的調查人員發現，一個至少從2022年就開始活躍的伊朗威脅組織，突然發動了針對美國、以色列、阿聯酋的高頻攻擊。這個組織有很多名字——追蹤它的團隊管它叫 Screening Serpens，也有廠商標注為 UNC1549、Smoke Sandstorm，或者更具欺騙感的別名“伊朗夢幻職位”。過去，他們一直繞著中東打轉，直到2025年底才把觸角伸向西歐。但這一次，攻擊節奏明顯變了。

他們瞄準的目標全是高價值行業：航空航天、國防制造、電信。下鉤的方式不算新鮮，卻很致命——根本不靠零日漏洞，就用一份份量身定制的招聘邀請或偽造的視頻會議軟件安裝包，通過社交工程直接敲開專業人士的收件箱。受害者以為自己在申請工作或參加在線會議，背后卻已經踢開了一連串靜默感染。

2026年2月到4月間，Unit 42 研究人員提取出了六款新的遠程訪問木馬變種，全部歸入兩個惡意軟件家族：MiniUpdate 和 MiniJunk V2。攻擊節奏幾乎和地緣政治事件同步：3月底，針對美國和以色列實體的協同打擊密集出現；到4月中旬，獵物換成了阿聯酋和另一個中東國家的目標。整個過程中，樣本更迭極快，像是有人在流水線上批量裝配不同形態的后門，唯一的共同點是，它們都很安靜。

感染鏈條永遠從魚叉郵件開始。受害者下載并運行那個看起來像“招聘門戶”或“視頻會議安裝器”的文件，一切看起來再正常不過。但就在程序啟動的瞬間，一個多階段加載鏈在后臺悄然展開。沒有彈窗，沒有報錯，甚至沒有明顯的CPU飆升。等受害者退出安裝界面時，攻擊者已經拿到了整臺機器的完整控制權。

這才是真正讓人火大的地方。因為這波行動里最核心的技術飛躍，不是某個巧妙的緩沖區溢出，不是藏在驅動里的 rootkit，而是一個叫 AppDomainManager 劫持的手段。這個詞聽著挺學院派，實際上等于直接調用了 .NET 框架自身的“后門”入口。攻擊者不需要在內存里拼湊任何 shellcode，也不用去修補什么系統鉤子。他們要做的，只是在應用程序配置文件里偷偷塞進幾行 XML。

要命的就在這幾行 XML 里。它們告訴 .NET 運行時：請你在加載應用程序之前，先執行我指定的惡意代碼。按照正常流程，.NET 程序啟動時會對組件進行一系列安全檢查，比如強名稱簽名驗證，還有生成事件跟蹤記錄供 EDR 調取。但攻擊者用配置文件直接下令：把 Event Tracing for Windows 關掉。Windows 事件跟蹤是現代端點檢測響應平臺監控 .NET 活動的主要數據源，關閉它，等于蒙上了整棟樓的安防探頭。緊接著，再關掉強名稱簽名驗證，這樣連簽過名的 DLL 檢測步驟都跳過了，任何未簽名的惡意 DLL 都可以大搖大擺地裝入進程，一點異常都不會觸發。

這意味著什么？你花了大量預算部署的 EDR，但凡它依靠 ETW 來分析 .NET 進程行為，現在都變成瞎子。攻擊者沒有破壞系統，只是利用系統原本提供的配置選項，禮貌地請求它關掉了自己的防御。這種手法被安全領域歸為成熟的“離地攻擊”技術，因為它不投放可疑文件，不改寫內存，所有操作都由合法進程用合法方式完成，整個過程看上去就是一個程序在讀取自己的正常配置文件。唯一不對勁的是，文件里多了那幾條指令，而安全工具很少去懷疑一個 XML 配置文件會有什么惡意。

Unit 42 的報告勾出了一個明確的攻擊時間表：整個行動緊扣沖突窗口，從2月底延續到4月，樣本迭代和攻擊波次都高度組織化。MiniUpdate 和 MiniJunk V2 兩大家族的 RAT 變種持續發送，表明有人在背后不斷根據暴露情況調整載荷。而 AppDomainManager 劫持技巧的大規模運用，暗示這伙人對 .NET 運行時內部機制的了解，已經不是一般腳本小子的水平。他們清楚地知道，在哪個時間點、用哪個配置項，可以讓 .NET 框架乖乖配合，而不是對抗。

諷刺的是，這種高等級隱身背后，并沒有用到什么神秘的新漏洞。它只是用一種你很難去告狀的邏輯，利用你的合法工具來搞你。企業花數年時間建設 EDR 體系，結果發現對手只需要用一套符合微軟官方文檔的配置方案，就能讓大部分遙測信號消失。而受害者看到的那封郵件，也許只是某天下午一個看上去還挺誘人的工作機會。