Silver Fox偷了3張證書，把殺毒軟件騙得團團轉

去年5月，越南一家叫DUC FABULOUS的公司丟了張證書。這張證書本該在2027年到期，現在卻成了中國黑客團伙Silver Fox的"敲門磚"——專門用來騙過企業防火墻，把木馬送進銀行和政府內網。

安全公司Hexastrike的研究員Maurice Fielenbach最近拆解了這場持續數月的攻擊。他發現Silver Fox（也叫Void Arachne或SwimSnake）專門盯上說中文的用戶，手法精細到不像傳統APT團伙。

釣魚網站做得比正版還真

攻擊者注冊了幾十個仿冒域名，拼寫只差一個字母——Surshark、Signa、Zoon。用戶手滑輸錯網址，看到的界面和正版軟件官網幾乎一模一樣。

最外層用 stolen EV證書簽名，Windows系統會直接顯示"已驗證的發布者"，企業安全策略通常對這種證書放行。

這張證書來自越南實體"DUC FABULOUS CO.,LTD"，攻擊者如何得手尚不清楚。EV證書的審核流程本包含人工核驗公司實體，被盜說明要么審核環節有漏洞，要么攻擊者完成了深度偽造。

安裝包運行后，外層殼程序會釋放兩個東西：一個是正常的UltraViewer遠程工具，另一個是偽裝成Autodesk組件的Schools.exe。前者用來讓用戶放松警惕，后者才是真正的載荷。

三層嵌套，每層都在"隱身"

Schools.exe的設計思路很產品經理——假設每層防御都有1%的漏檢率，三層疊加就能把檢出率壓到百萬分之一。

第一層，它用PEB walking和ROR13哈希動態解析API。簡單說，就是不在代碼里直接寫明要調用哪些系統功能，而是運行時現查現算。靜態分析工具看到的就是一團亂碼，沙箱也很難預判它的行為。

第二層，它從C2服務器拉取第二階段shellcode，走的是原始TCP協議，繞過大多數基于HTTP特征檢測的防火墻。

第三層最狠：AtlasCross RAT被反射加載到內存中執行，全程不落盤。傳統殺毒軟件依賴文件掃描，面對這種"無文件攻擊"基本抓瞎——就像保安在檢查行李箱，小偷直接把東西穿在身上走進來。

PowerChell：在內存里開"后門中的后門"

AtlasCross的核心組件是個叫PowerChell的執行引擎，用原生C/C++寫成。它直接在惡意軟件進程內部托管.NET運行時（CLR），可以執行PowerShell腳本而不啟動powershell.exe。

這意味著什么？企業環境里，powershell.exe的啟動通常會被監控和記錄。PowerChell把這個痕跡徹底抹掉了——系統日志里看不到任何異常進程，但攻擊者的腳本已經在內存里跑起來了。

PowerChell還會系統性地拆除Windows的防御機制：

? 內存補丁禁用AMSI（反惡意軟件掃描接口），讓系統自帶的Defender變成瞎子
? 關閉ETW（Windows事件追蹤），審計日志停止記錄
? 繞過CLM（受限語言模式），解除PowerShell的安全限制
? 完全壓制ScriptBlock日志，執行過的命令不留痕跡

Fielenbach形容這套組合拳"把Windows的安全基礎設施變成了裝飾"。

通信層面，AtlasCross用ChaCha20加密，每個數據包都用硬件隨機數生成器產生獨立密鑰。即使截獲了流量，也無法通過密鑰復用破解歷史數據。

專殺中國殺毒軟件的"溫柔一刀"

Silver Fox對中國本土安全產品的針對性設計，暴露了它的地緣目標。

AtlasCross不會直接殺掉360 Total Security或火絨的進程——那樣會觸發用戶警覺。它選擇更隱蔽的方式：主動終止這些軟件建立的TCP連接，阻止它們從云端獲取最新病毒特征庫。

結果就是，殺毒軟件看起來正常運行，界面綠燈全亮，但實際用的是幾周前的舊規則庫，對新型變種毫無識別能力。這種"慢性中毒"比直接崩潰更難排查。

此外，惡意軟件還會向微信進程（Wxfun.dll）注入DLL，收割聊天數據。配合tscon.exe劫持活躍遠程桌面會話，攻擊者可以在用戶完全不知情的情況下，接管其工作環境。

EV證書的信任危機

這場攻擊最諷刺的轉折點在于：企業花大價錢部署的"高級防護"，反而成了攻擊者的幫兇。

EV證書的設計初衷是建立信任金字塔——經過嚴格審核的證書持有者，應該比普通域名更值得信任。Silver Fox的案例證明，這個金字塔的底座可以被偷走。一旦證書被盜，它攜帶的"可信"標簽就變成了完美的偽裝。

Fielenbach在分析報告中提到，DUC FABULOUS的證書至今未被正式吊銷。這意味著攻擊者理論上可以繼續使用它，直到2027年5月的自然過期日——或者直到證書頒發機構（CA）完成人工審核流程。

CA的吊銷響應速度，正在成為APT攻擊的時間窗口。

更深層的問題在于，Windows和大多數企業安全工具對EV證書的信任是"默認全開"的。攻擊者利用的正是這種設計慣性——證書有效=放行，這個等式在Silver Fox的案例中被徹底擊穿。

Silver Fox的運營精細度也在進化。從域名注冊、落地頁設計到證書竊取、多層載荷，每個環節都顯示出專業分工。這不是單個黑客的杰作，而是一條成熟的攻擊產業鏈。

對于防守方，Fielenbach的建議很直接：別再迷信證書。行為檢測、內存監控、網絡流量分析，這些"看動作而非看身份"的手段，才是對抗無文件攻擊的剛需。

但企業IT的現實是，行為檢測的誤報率遠高于證書白名單。安全團隊每天處理數百條告警，真正能跟進的不到十分之一。Silver Fox的打法，精準踩中了"寧可漏報不可誤報"的防守困境。

截至分析發布，AtlasCross的C2基礎設施仍在活躍。Fielenbach追蹤到的樣本最早出現于2024年初，但攻擊規模和技術迭代表明，這場戰役遠未結束。

一個值得玩味的細節是：Silver Fox對中文用戶的精準定位，加上對本土安全產品的特殊照顧，讓這起事件的地緣屬性難以忽視。但技術本身是中立的——PowerChell的內存執行技術、ChaCha20的加密方案，任何有能力的攻擊者都可以復刻。

當DUC FABULOUS的證書最終過期或被吊銷，Silver Fox會尋找新的"信任道具"嗎？