随着数字化转型的不断深入,能源行业的信息化建设日益完善。然而,网络安全风险也随之提升。近期,安全研究人员揭露了一个名为OneClik的复杂恶意软件活动,该恶意软件利用微软的ClickOnce软件部署技术和基于Golang语言的后门工具,特意针对能源、石油和天然气领域的企业进行攻击。OneClik的出现反映了网络攻击正在向更加隐蔽和高效的方向演进,特别是通过巧妙利用合法系统组件执行恶意代码,极大地增加了检测和防御难度。Microsoft ClickOnce技术原本被设计为一种便捷的Windows应用程序安装与自动更新方式——它允许用户只需少量交互即可完成软件部署。ClickOnce的这种设计初衷是提升用户体验和简化程序维护流程,但也无形中为攻击者提供了利用渠道。
攻击者通过伪造符合ClickOnce规范的应用程序文件,使恶意程序能够以可信系统进程“dfsvc.exe”子进程的身份运行。因为ClickOnce应用只需有限权限,通常不要求管理员权限,攻击者能够避开权限提升环节,直接执行恶意代码,这种“living-off-the-land”策略令传统安全防护体系面临严峻考验。OneClik的攻击链始于钓鱼邮件,这些邮件巧妙地引导受害者访问一个伪造硬件分析网站,诱导下载ClickOnce应用。所使用的加载器被称为OneClikNet,是基于.NET框架构建的程序。它采用AppDomainManager注入技术在内存中运行加密shellcode,从而加载名为RunnerBeacon的Golang后门。RunnerBeacon的设计借鉴了业界知名的Go语言实现的Cobalt Strike信标如Geacon的技术特征,支持多种通信协议包括HTTP(s)、WebSockets、原生TCP及SMB命名管道。
该后门具备文件操作、进程枚举与终止、shell命令执行、权限提升(通过令牌盗用及模拟)、以及横向移动多种功能。此外,RunnerBeacon还内置反分析机制,防止被沙箱或安全产品识别。网络功能方面则涵盖端口扫描、端口转发及SOCKS5代理,极大提升了攻击者控制目标网络的灵活性与隐蔽性。OneClik在2025年3月暴露了至少三种变种,分别为v1a、BPI-MDM和v1d,均展示出对监测技术的规避能力逐步增强。早在2023年9月,中东某石油天然气企业便检测到了RunnerBeacon的踪迹,表明此类攻击活动已有多年潜伏并持续演化。尽管OneClik的技术手法与之前多次由中国关联的威胁组织使用的AppDomainManager注入相似,但具体归属尚无明确结论。
在当前态势下,攻击活动往往复杂且具多样性,安全厂商往往采取谨慎的态度避免草率归因。除OneClik外,另一中国安全公司QiAnXin揭露了APT-Q-14攻击者利用ClickOnce传播恶意软件,并通过电子邮件平台Web版的零日跨站脚本漏洞实现初始感染。尽管该漏洞已经修复,此举显示ClickOnce应用成为钓鱼攻击中的便利工具。APT-Q-14被认为起源于东北亚,与韩国相关威胁组织如DarkHotel存在关联。DarkHotel早期曾利用“Bring Your Own Vulnerable Driver”技术关闭微软Defender杀软,结合钓鱼邮件投放伪造MSI安装包,从而实现持久化控制。近年来,该组织更加注重灵活而轻量的攻击路径,减少传统高价值漏洞的依赖。
值得注意的是,Trellix安全团队在2025年6月公布的调查表明OneClik最初其实是一次红队演习项目,模拟了高级持续性威胁(APT)般的攻击手法。尽管如此,该演练充分展现了现代威胁利用云服务和企业合法工具“借刀杀人”的潜力和威胁。安全专业人员应重视对ClickOnce技术和Golang后门特征的掌握,完善钓鱼邮件防护、行为检测及终端安全设计。首先,加强对钓鱼邮件和恶意链接的拦截能力,配合邮件安全网关的多层过滤,是防止初始感染的关键措施。其次,增强终端设备对ClickOnce执行流程的监控特别是对“dfsvc.exe”进程的行为分析,可以及时识别异常指标。此外,利用威胁情报提升对已知恶意软件变种与命令和控制基础设施的检测,缩短响应时间。
网络隔离与分段策略则有助于减缓攻击在企业内部的横向传播,限制威胁扩散范围。最后,员工安全意识培训作为首道防线,对于防范钓鱼邮件攻击至关重要。整体来看,OneClik恶意软件的案例不仅丰富了网络攻击以合法系统组件作为工具的战术库,也提醒能源及相关行业必须持续更新安全防护思路,积极采用先进的检测和响应技术提升对于复杂持续性威胁的抵御能力。随着网络威胁日益多样化和隐蔽化,只有通过技术与管理并重的综合安全策略,才能有效守护关键基础设施的安全与稳定。能源行业相关企业和安全从业者应以此为鉴,持续强化防御体系,提升对于ClickOnce及类似隐匿手法的防御识别能力,进而抵御不断演化的高级威胁。
