2026年3月22日早晨，全球安全運營中心的屏幕突然同時變紅。一家自稱做"搜索變現(xiàn)研究"的公司，用合法簽名軟件做掩護，讓超過2.3萬臺電腦變成了隨時可被劫持的"肉雞"——而攻擊者需要付出的成本，僅僅是一頓外賣錢。

從廣告插件到國家級威脅

事情最初只是一條普通的廣告軟件（Adware）告警。

3月22日當天，多個托管環(huán)境的安全系統(tǒng)同時觸發(fā)警報，源頭指向Dragon Boss Solutions LLC簽名的可執(zhí)行文件。這家公司對外宣稱從事"搜索變現(xiàn)研究"，聽起來像是某個不起眼的廣告技術小廠。

但Huntress安全研究員James Northey和Ryan Dowd很快發(fā)現(xiàn)不對勁。

這些程序表面無害，內核卻藏著一套精密的殺傷鏈：以完整系統(tǒng)權限（SYSTEM privileges）靜默運行，通過內置更新機制獲取并部署載荷，專門獵殺殺毒軟件。

殺毒軟件的禁用行為最早在2025年3月底被觀測到，但加載器和更新組件早在2024年底就已潛伏在受害者系統(tǒng)中。攻擊者用了整整幾個月時間布局，等待最佳時機。

「WMI持久化信號開始在托管環(huán)境中觸發(fā)時，我們意識到這不是普通的廣告軟件。」Huntress團隊在事后復盤中提到。他們順藤摸瓜，鎖定了一個名為RaceCarTwo.exe的簽名可執(zhí)行文件——整個感染鏈的起點。

攻擊路徑層層遞進：RaceCarTwo.exe部署Setup.msi，后者執(zhí)行名為ClockRemoval.ps1的PowerShell腳本。這個腳本不僅是殺毒軟件殺手，還會主動阻斷任何重新安裝安全產品的嘗試。

更棘手的是攻擊工具的選擇。Advanced Installer是一款合法的現(xiàn)成更新工具，攻擊者用它來傳遞MSI和PowerShell載荷，給惡意行為披上了"正常軟件更新"的外衣。

10美元的"核武器按鈕"

當Huntress團隊深入分析更新配置時，發(fā)現(xiàn)了一個令人脊背發(fā)涼的漏洞。

主更新域名chromsterabrowser[.]com竟然處于未注冊狀態(tài)。這意味著任何人花大約10美元注冊這個域名，就能立即獲得向所有運行該軟件變種的受感染端點推送任意載荷的能力——勒索軟件、信息竊取器，或者更危險的東西。

這是一個典型的供應鏈攻擊窗口：攻擊者劫持的不是代碼本身，而是代碼的"信任通道"。

Huntress搶在真正的惡意行為者之前注冊了這個域名，將其指向sinkhole（沉洞服務器）。接下來的24小時，數據洪流證實了最壞的情況。

23,565個獨立IP地址連接到了sinkhole。這些電腦正在主動"報到"，等待接收下一步指令。它們不知道自己已經逃過一劫——如果域名落入他人之手，這2.3萬多臺機器將在幾小時內淪為僵尸網絡或加密勒索的犧牲品。

地理分布揭示了攻擊的全球化程度。美國以12,697臺主機（53.9%）居首，法國2,803臺（11.9%），加拿大2,380臺（10.1%），英國2,223臺（9.4%），德國2,045臺（8.7%）。這不是針對特定國家的行動，而是一張撒向發(fā)達數字經濟體的大網。

被忽視的"高價值目標"

數量之外，質量更令人擔憂。

在全部感染中，324臺主機屬于高價值網絡：221所大學和學院，41個與電力設施和關鍵基礎設施相關的運營技術網絡，35個政府實體，24所中小學，3家醫(yī)療機構。此外，多家財富500強企業(yè)的網絡也在受影響名單之列。

這些數字暴露了一個被長期低估的攻擊向量：邊緣軟件供應鏈。

Dragon Boss Solutions不是傳統(tǒng)意義上的"惡意軟件作者"。他們擁有合法的公司實體，使用正規(guī)的代碼簽名證書，產品功能（搜索變現(xiàn)、瀏覽器工具）看似無害。但正是這種"灰色身份"，讓他們能夠穿透企業(yè)安全防線——IT部門很難向管理層解釋為什么要封鎖一個"做搜索廣告的公司"的軟件。

關鍵基礎設施運營者（OT網絡）的感染尤其值得警惕。41個電力相關網絡的淪陷，意味著攻擊者已經獲得了潛在的能力去觸碰物理世界的開關。雖然本次事件止步于殺毒軟件禁用階段，但同樣的更新機制完全可以輸送針對工業(yè)控制系統(tǒng)的專用載荷。

教育機構的密集感染（221所大學+24所中小學）則反映了另一個現(xiàn)實：高校網絡以開放性和學術自由著稱，往往成為供應鏈攻擊的軟目標。而這些網絡又連接著大量研究數據、知識產權和年輕用戶的個人信息。

"合法工具"的黑暗面

Advanced Installer在本案中的角色值得深究。

這是一款成熟的商業(yè)軟件，被數千家ISV（獨立軟件供應商）用于打包和分發(fā)應用程序。它的合法性正是攻擊者選擇它的原因——安全產品通常會對知名廠商的工具放行，或者至少降低檢測優(yōu)先級。

這種" living off the land "（就地取材）的策略正在重塑威脅格局。攻擊者不再需要開發(fā)復雜的漏洞利用程序，只需要：

1. 注冊一家公司（成本：幾百美元）

2. 獲取代碼簽名證書（成本：每年數百至數千美元）

3. 購買合法的開發(fā)工具（成本：一次性或訂閱費用）

4. 租用基礎設施（成本：按需付費）

總投入可以控制在數千美元以內，而潛在收益——特別是針對高價值目標的勒索或間諜活動——可能是百萬甚至千萬美元級別。

Dragon Boss Solutions的運營模式也暗示了更廣泛的地下經濟。搜索變現(xiàn)（Search Monetization）本身就是一個灰色地帶：通過瀏覽器劫持、重定向、捆綁安裝等方式獲取廣告流量。這類業(yè)務天然需要規(guī)避安全檢測，與惡意軟件的技術手段高度重合。當"灰色收入"不夠時，基礎設施轉向純黑色用途幾乎是零摩擦的。

域名空懸：被忽視的供應鏈漏洞

本案最戲劇性的細節(jié)——未注冊域名成為攻擊跳板——并非孤例。

軟件更新機制通常硬編碼域名或IP地址。當開發(fā)團隊解散、公司倒閉、或者僅僅是運維疏忽時，這些域名可能過期釋放。如果軟件仍在運行，它就變成了一個開放的遠程控制接口。

2023年，安全研究員曾發(fā)現(xiàn)多個流行的IoT設備固件指向已失效的更新服務器；2017年，某知名下載工具的舊版本因域名過期被劫持，用于分發(fā)惡意軟件。Dragon Boss Solutions的案例之所以嚴重，在于規(guī)模（2.5萬端點）與目標價值（關鍵基礎設施）的疊加。

防御這類威脅需要改變思路。傳統(tǒng)的"黑名單"思維——識別已知惡意軟件——對合法簽名軟件無效。企業(yè)需要：

- 對軟件更新行為進行行為監(jiān)控，而非僅依賴靜態(tài)簽名

- 建立軟件物料清單（SBOM），追蹤每個組件的更新通道

- 對指向外部域名的更新機制進行DNS層面的審計

- 在關鍵網絡分段中限制軟件自動更新權限

Huntress的sinkhole操作雖然暫時化解了危機，但只是權宜之計。chromsterabrowser[.]com現(xiàn)在由安全公司控制，但Dragon Boss Solutions的其他軟件變體可能指向不同的域名——其中還有多少處于未注冊狀態(tài)？

當"廣告技術"成為特洛伊木馬

回到Dragon Boss Solutions本身的商業(yè)模式，一個更深層的問題浮現(xiàn)：搜索變現(xiàn)研究與系統(tǒng)級權限、持久化機制、殺毒軟件對抗技術之間，存在什么合理的關聯(lián)？

正常的廣告技術不需要SYSTEM權限，不需要WMI持久化，更不需要阻止用戶重新安裝安全軟件。這些功能的唯一解釋是：該軟件的設計目標本身就包含對抗用戶意志和安全控制。

這揭示了一個監(jiān)管灰色地帶。現(xiàn)行法律對"廣告軟件"和"惡意軟件"的界定往往依賴主觀意圖判斷，而技術實現(xiàn)可以高度相似。Dragon Boss Solutions至今未被起訴，可能正是因為這種模糊性——他們的律師可以辯稱所有功能都是為了"確保廣告服務的連續(xù)性"。

但2.3萬臺受感染機器、324個高價值網絡、包括電力設施和財富500強在內的受害者清單，讓這種辯解顯得蒼白。當基礎設施足以支撐國家級破壞時，"廣告"的標簽不再適用。

事件時間線也值得關注。2024年底加載器就位，2025年3月首次觀測到殺毒軟件禁用行為，2026年3月被發(fā)現(xiàn)——長達一年多的潛伏期。這不是機會主義犯罪，而是有計劃的滲透。

誰該為那10美元負責？

供應鏈安全的責任分配在此案中變得復雜。Dragon Boss Solutions作為軟件作者，顯然負有首要責任。但使用Advanced Installer這樣的第三方工具，是否意味著工具廠商也有義務監(jiān)控濫用？托管受影響軟件的分發(fā)平臺，是否進行了足夠的審查？最終用戶——那些大學、電力公司、政府機構——的安全團隊，又為何未能發(fā)現(xiàn)異常更新行為？

最尖銳的問題指向代碼簽名證書的頒發(fā)機構。Dragon Boss Solutions獲得了有效的數字簽名，這意味著某家證書機構驗證了其身份。這種驗證的強度如何？是簡單的郵箱確認，還是包含了企業(yè)實體核查？當簽名被用于大規(guī)模惡意活動時，證書機構的責任