OneClik 恶意软件隐藏在显而易见的地方

新型网络入侵

网络安全专家发现了一个名为“OneClik”的恶意软件攻击活动，该活动针对性极强。此次攻击并非典型的散弹式攻击，而是一次集中式攻击，直接瞄准能源、石油和天然气等高价值行业。OneClik 的显著特点在于它使用了微软的ClickOnce技术，该技术旨在为用户提供无缝软件部署的合法工具。然而，攻击者却将其变成了一种武器，悄悄地向关键系统植入后门。

靠土地生存：攻击者的规避策略

OneClik 并没有依赖那些触发警报的恶意软件，而是采取了更为隐蔽的手段。此次攻击活动符合行业内一种名为“离地攻击”（living-off-the-land）的广泛趋势——利用受信任的系统工具和平台进行不被发现的攻击。攻击者将恶意流程融入正常的企业工作流程，使得检测变得极其困难。尽管一些特征表明该攻击与与中国相关的威胁组织存在关联，但安全分析师在追责方面仍持谨慎态度。

从网络钓鱼到完全控制

攻击链始于一封看似简单的钓鱼邮件。受害者会被重定向到一个伪装成合法硬件分析工具的虚假网站。访问该网站时，它会悄悄地加载一个 ClickOnce 应用程序。虽然这看似无害，但该应用程序实际上是一个基于 .NET 的加载程序，会触发一系列复杂的事件。而这条攻击链的核心是一个强大的后门程序，名为RunnerBeacon 。

RunnerBeacon：核心植入

RunnerBeacon 采用 Go 编程语言构建，旨在实现隐蔽性和多功能性。它使用各种协议与其操作员通信，包括 HTTPS、原始 TCP，甚至 Windows 命名管道。这使得该恶意软件能够执行各种活动：读取和修改文件、扫描内部网络、执行 Shell 命令、窃取令牌以提升权限以及在网络中横向移动。它不仅仅是一个立足点，更是深度系统入侵的工具包。

无需管理员权限：ClickOnce 为何重要

该活动最巧妙的伎俩之一在于滥用 ClickOnce 技术。这项 Microsoft 技术通常用于在无需管理员权限的情况下安装软件。攻击者利用这一点启动恶意软件，无需发出警报或请求可疑权限。该恶意应用程序通过受信任的 Windows 进程 dfsvc.exe 运行，并采用一种罕见的策略（称为 AppDomainManager 注入）在内存中执行加密的 Shellcode，这使得取证恢复变得困难。

并非个例：野外进化的变种

这并非单一的恶意软件变种，而是一个不断壮大的家族。安全研究人员仅在2025年就发现了几种OneClik变种，每个版本都比上一个更加精细。v1a、 BPI-MDM和v1d等名称表明，这套用于规避攻击和持久化攻击的工具集正在日趋成熟。事实上，RunnerBeacon后门的早期发现可以追溯到2023年，这表明该攻击活动一直在悄然运作和发展。

更广泛的影响：这对企业意味着什么

OneClik 的活动影响深远。它能够躲避雷达探测、规避权限提升要求，并在受信任的系统中运行，这对于依赖旧系统或最低限度端点保护的行业来说尤其危险。传统的防病毒工具和防火墙可能无法发现它。基础设施领域的组织必须考虑其当前的防御能力是否能够应对此类攻击。

以下是一些可能表明存在类似 OneClik 入侵行为的关键迹象：

• 到 AWS 或其他云服务的异常出站流量
• dfsvc.exe 的未知子进程
• 使用 AppDomainManager 或可疑的 .NET 程序集
• 在没有警报的情况下逐步提升权限

全球模式：与其他威胁行为者的联系

虽然归因尚不明确，但研究人员注意到 OneClik 的技术与东北亚一些与政府有关联的组织所使用的技术存在相似之处。一个名为APT-Q-14的组织发起的一项活动也利用了 ClickOnce 应用程序，这次他们利用了基于 Web 的电子邮件服务中的零日 XSS 漏洞，无需任何点击即可安装恶意软件。这种策略上的重叠表明，这些区域威胁行为者可能使用了共享工具或相同的策略。

适应性是新武器

OneClik 与传统恶意软件的不同之处在于其灵活性。它不依赖重磅漏洞或暴力破解方法，而是能够灵活适应。它使用 AWS 等可信平台，隐藏通信，并实时演进。这象征着网络威胁的广泛转变：从大规模攻击转向隐蔽攻击和精准攻击。

最后的想法

OneClik 攻击活动清晰地提醒我们，即使是合法技术也可能被用于恶意目的。对于安全团队而言，这意味着要超越表面防护，投资于行为分析、异常检测和高级监控。由于威胁行为者不断改进其攻击方法，防御者必须在敏捷性和洞察力方面与他们匹敌。网络安全的未来不仅在于了解攻击者的行为，还在于了解他们如何悄无声息地进行攻击。