网络安全防线正面临一场静默而凶险的渗透。近期Fortinet 旗下 FortiGuard Labs 的研究团队追踪到一起活跃威胁活动一种经过深度改造的 PureLogs 信息窃取恶意软件新变种正在野外流窜。与以往版本相比此次变种的隐蔽层级显著提升整个入侵链条几乎完全依托 Windows 系统原生组件完成给传统终端防护带来了极大挑战。钓鱼邮件仍是撕开防线的老把戏只是包装得更像真的攻击的起点往往平淡无奇却最容易让人放松警惕。受害者会收到一封主题为采购订单的商务邮件发件人地址经过精心伪造邮件正文措辞也模仿了真实的商业沟通习惯。附件是一个看似普通的压缩包里面藏着一个 JavaScript 文件。由于文件名常被伪装成与采购相关的文档不少用户在匆忙中直接双击打开。这个 JavaScript 文件并非简单的脚本而是经过了多层混淆处理。安全工具在静态分析阶段很难一眼看穿它的真实意图而普通用户更是无从察觉。脚本一旦运行便会在后台悄然拉响攻击的引线。从脚本到内存加载攻击链的层层嵌套JavaScript 启动后并不会直接释放恶意程序而是转而调用 PowerShell。攻击者在磁盘上投放了一个高度混淆的 PowerShell 脚本其功能在于解码一段加密数据并在内存中直接加载一个 .NET 模块。整个过程几乎不落盘文件less 的执行方式让依赖文件扫描的防御机制失去了抓手。这个 .NET 模块的身份伪装得颇为巧妙。它将自己包装成合法的 Windows 任务计划程序组件混在系统正常的进程与服务之间不易引起管理员注意。模块的核心任务是与远程服务器建立通信并准备下一阶段的有效载荷投递。进程空心化把恶意代码塞进微软签名的白进程此次 PureLogs 变种在技术上最值得警惕的地方在于它对进程空心化技术的运用并且选择了一个极为讨巧的宿主进程——MsBuild.exe。MsBuild.exe 是 .NET Framework 自带的合法构建工具由微软签名在开发环境中频繁出现。正因为它是受信任的系统组件多数终端安全产品默认给予其较高的运行自由度不会进行深度行为审查。攻击者正是看准了这一点。具体执行流程相当精细。下载器模块先在受感染系统上定位 MsBuild.exe随后以挂起状态启动该进程。接着它提取进程内存空间将 PureLogs 的最终载荷注入这片已被清空的内存区域最后恢复线程执行。从表面看系统中只是多了一个正常的 MsBuild.exe 进程实际上内里早已被替换成恶意代码。完成注入的过程中恶意代码调用了 Windows 原生 API包括 CreateProcessA、WriteProcessMemory 以及 ResumeThread整个操作干净利落不留明显痕迹。载荷本身还套着 .NET Reactor 和 IntelliLock 这类商业混淆工具的外壳逆向分析人员想要剥开层层保护看清核心逻辑需要耗费大量时间。一旦落地几乎无所不偷PureLogs 在 MsBuild.exe 体内完全激活后便在后台持续运行像一台静默的吸尘器系统中有价值的数据几乎都会被它纳入收集范围。浏览器是首当其冲的目标。这款窃密木马能够识别超过八十种浏览器从主流的 Google Chrome、Mozilla Firefox到相对小众的 CocCoc、Kinza 等无一幸免。已保存的登录凭据、Cookie 记录、自动填充的表单数据都会被它打包抽走。加密货币钱包同样是重点关照对象。Exodus、Electrum、Atomic Wallet、Binance 等主流软件钱包的相关文件都在其狩猎清单上。对于持有数字资产的用户而言一旦中招资产转移可能在几分钟内就会发生。邮件客户端、FTP 工具以及 VPN 软件也未能幸免。Microsoft Outlook、Thunderbird、Foxmail 的账户配置FileZilla 的站点管理信息ProtonVPN 和 OpenVPN 的登录凭证统统会被加密压缩后通过 HTTPS 通道回传至攻击者的远程服务器。商业化的窃密工具降低了犯罪门槛PureLogs 并非某个黑客团伙的专属武器它已在多个地下论坛作为商业工具公开出售。这意味着即使是没有太多技术积累的攻击者只要愿意付费购买就能获得一套功能完善、持续更新的信息窃取平台。犯罪门槛的降低直接导致了此类威胁活动的泛滥。Fortinet 研究人员在报告中特别指出该工具的多场景适配能力让它在各种规模的网络环境中都能找到下手的机会。防御端该如何应对面对这种高度依赖系统白名单进程的攻击模式传统的黑名单拦截思路显得力不从心。安全团队需要从多个维度收紧防线。邮件网关层面建议对附件中的 JavaScript 文件执行严格管控要么直接阻断要么强制送入沙箱完成动态行为分析后再决定是否放行。终端侧应加强对 PowerShell 异常行为的监控特别是那些涉及内存加载、无文件执行的调用模式。进程行为管控同样关键。安全策略应当限制非必要进程创建子进程或发起网络连接的能力即便是 MsBuild.exe 这类系统工具也不应在非开发环境下随意建立外部通信。网络分段与最小权限原则在此类威胁面前依然有效。当然技术防线之外人的因素不可忽视。针对采购订单、发票、付款通知等主题的钓鱼邮件依然是当前最高频的初始入侵向量。定期对员工进行安全意识培训教会他们识别邮件中的可疑发件人、异常附件类型以及紧迫性措辞往往比任何高级安全设备都更早一步阻断攻击。相关入侵指标IoC参考以下文件与进程特征可用于辅助威胁狩猎与日志排查安全运营团队可将其纳入 SIEM 或 MISP 平台做关联检测恶意 JavaScript 文件名pankocrs.js中间 PowerShell 脚本名ps_qnSEGUkU0LIY_1777592585573.ps1内存加载的 DLL 模块zgSGkYYzqVe.dll下载器 C# 模块标识miySTll被滥用的合法进程MsBuild.exe下载器入口方法tiyvIXAqfXvogv46vck.opr2xfZUr15bo4oEyY.zYwtW19n4()典型 PowerShell 调用特征Invoke-AssemblyMethod、Invoke-Expression目标数据路径%LocalAppData%\Microsoft\Edge\User Data\Default\Login DataC2 通信方式HTTPSHttpClient.GetAsync()需要说明的是相关 IP 地址与域名已在公开报告中做脱敏处理实际运营中请通过受控的威胁情报平台获取完整 IoC 数据避免直接解析或访问可疑域名。