當安全工具盯著惡意流量時，真正的威脅正披著合法服務(wù)的外衣悄悄潛入。最近針對巴基斯坦政府雇員的一次攻擊，把"藏木于林"玩到了極致——微軟的開發(fā)工具、Discord的消息通道、BunnyCDN的內(nèi)容分發(fā)網(wǎng)絡(luò)，全成了攻擊者的幫兇。

JoeReverser的分析師在沙盒測試后，給這次攻擊的惡意文檔打了滿分100分。更麻煩的是，多引擎檢測率最低只有52%，這意味著近半數(shù)安全工具會放行。

攻擊是怎么被發(fā)現(xiàn)的

目標鎖定的是旁遮普安全城市管理局（PSCA）和PPIC3的工作人員。攻擊者冒充內(nèi)部顧問，郵件里提到一個叫"Safe Jail Project"的政府項目——用機構(gòu)內(nèi)部熟悉的名稱建立信任，是釣魚的老套路，但屢試不爽。

同一封郵件塞了兩個附件。第一個是Word文檔"CAD Reprot.doc"，故意把"Report"拼錯，這是威脅組織慣用的標記手法。第二個是PDF文件"ANPR Reprot.pdf"，打開后彈出一個假的Adobe Reader錯誤提示，誘導用戶下載惡意文件。

兩個附件都從BunnyCDN拉取載荷。用正規(guī)CDN做跳板，流量看起來就像普通的網(wǎng)站訪問，邊界安全設(shè)備很難區(qū)分。

Joe Sandbox用三個Web ID（1903908、1903907、1901906）完整復現(xiàn)了攻擊鏈，從郵件到最終PDF的每個環(huán)節(jié)都被記錄在案。

五個讓安全團隊頭疼的設(shè)計

這次攻擊不是簡單的"點一下中木馬"，而是一場精心編排的多階段滲透。拆解來看，每個技術(shù)選擇都有明確的規(guī)避意圖。

① VBA stomping：讓殺毒軟件"看"不到代碼

Word文檔用了VBA stomping技術(shù)——把宏的源代碼完全刪除，只保留編譯后的p-code。殺毒軟件掃描Word文檔時，通常檢查的是可讀代碼區(qū)域，這里一片空白，自然不報警。但文檔打開后，隱藏的編譯代碼照樣執(zhí)行。

這是老技術(shù)，但對付依賴特征碼的傳統(tǒng)殺毒引擎依然有效。

② 雙附件策略：分散檢測注意力

一個郵件放兩個惡意附件，不只是為了增加成功率。安全系統(tǒng)往往對單個郵件的附件數(shù)量、類型做關(guān)聯(lián)分析，兩個不同格式的文件可能觸發(fā)不同的檢測模塊，而模塊之間的信息未必實時共享。攻擊者賭的是：總有一個能溜過去。

PDF的假錯誤提示更是心理戰(zhàn)術(shù)——用戶看到"Adobe Reader無法顯示此文檔"，第一反應(yīng)是點"修復"或"下載更新"，而不是懷疑郵件本身。

③ BunnyCDN：把惡意流量洗白

兩個附件都從BunnyCDN下載下一階段載荷。CDN的IP段通常在白名單里，流量加密后，防火墻看不到內(nèi)容，只能看到"用戶在訪問一個正規(guī)CDN節(jié)點"。

這比直接用C2服務(wù)器聰明得多——封禁CDN域名會影響正常業(yè)務(wù)，安全團隊不敢輕易動手。

④ VS Code隧道：微軟的基礎(chǔ)設(shè)施成了"隱身衣"

攻擊最精巧的設(shè)計在這里。載荷代碼（code.exe）落地執(zhí)行后，不走常規(guī)的C2通道，而是接入微軟VS Code的隧道服務(wù)。

這是微軟給開發(fā)者提供的合法功能，讓遠程機器通過安全隧道連接本地開發(fā)環(huán)境。攻擊者劫持這個機制后，受害機器與攻擊者的通信流量全部走微軟的服務(wù)器，TLS證書也是微軟的。

從網(wǎng)絡(luò)監(jiān)控的角度看，這就是"一個開發(fā)者在用VS Code遠程工作"。除非企業(yè)明確禁用VS Code隧道功能，否則很難從流量特征上識別異常。

⑤ Discord Webhook：把入侵通知變成普通消息

每次有新機器淪陷，攻擊者會收到即時通知。通知通道用的是Discord的Webhook——一個普通到不能再普通的即時通訊功能。

企業(yè)網(wǎng)絡(luò)監(jiān)控工具盯著的是異常DNS解析、可疑IP連接、罕見端口通信。Discord的流量？太常見了，游戲玩家、遠程團隊都在用，直接放行。

檢測數(shù)據(jù)暴露的殘酷現(xiàn)實

這次攻擊的檢測率分布，反映了防御方的尷尬處境：

Suricata、Sigma、YARA規(guī)則集和ReversingLabs的檢出率是52%，VirusTotal多引擎掃描是56%。剛過一半的識別率，意味著在真實環(huán)境中，大量終端會毫無阻攔地執(zhí)行惡意代碼。

JoeReverser的沙盒分析給出了95%的置信度判定：攻擊目的是建立持久化遠程訪問。這個置信度不是猜測，是基于完整行為鏈的統(tǒng)計結(jié)論——文檔打開后的進程創(chuàng)建、網(wǎng)絡(luò)連接、文件寫入、注冊表修改，全部指向同一個目標。

Malpedia中沒有匹配到已知惡意軟件家族。確認這是定制工具集，專門為這次目標開發(fā)。沒有歷史特征，基于威脅情報的防御手段直接失效。

為什么偏偏是政府項目名義

"Safe Jail Project"這個名稱的選擇值得玩味。PSCA和PPIC3本身就是安全城市相關(guān)機構(gòu)，內(nèi)部人員對這類項目名稱有天然熟悉感。攻擊者不需要知道項目的具體細節(jié)，只要名字像真的，就足以讓收件人放下警惕。

冒充內(nèi)部顧問而非外部供應(yīng)商，進一步壓縮了核實空間。政府機構(gòu)的組織架構(gòu)復雜，基層員工很難確認"這個顧問是不是真的存在"。

這種"機構(gòu)內(nèi)部信任鏈"的劫持，比偽造銀行、快遞等外部機構(gòu)更難防范——后者員工受過培訓會警惕，前者恰恰是日常工作的溝通對象。

技術(shù)防御的邊界在哪里

這次攻擊暴露了幾個結(jié)構(gòu)性難題：

第一，合法服務(wù)的濫用無法通過簡單封禁解決。VS Code隧道、Discord、BunnyCDN都是正常業(yè)務(wù)需要的工具，一刀切會影響生產(chǎn)力，不切又留下通道。

第二，宏文檔的檢測依賴靜態(tài)分析，而VBA stomping專門破壞靜態(tài)分析的前提。動態(tài)沙盒能發(fā)現(xiàn)問題，但沙盒的覆蓋率和時效性始終是瓶頸。

第三，多階段載荷的關(guān)聯(lián)檢測需要數(shù)據(jù)打通。郵件網(wǎng)關(guān)、終端EDR、網(wǎng)絡(luò)NDR各自看到片段，拼不成完整攻擊鏈，就無法在關(guān)鍵節(jié)點阻斷。

JoeReverser的滿分評級（100/100）和95%置信度判定，說明在完整可見的攻擊鏈面前，判斷惡意并不困難。困難的是在日常運營中，獲得這種"完整可見性"的成本太高。

數(shù)據(jù)收束：一次攻擊背后的數(shù)字

旁遮普安全城市管理局和PPIC3的工作人員收到釣魚郵件；兩個惡意附件共享BunnyCDN基礎(chǔ)設(shè)施；VS Code隧道服務(wù)被劫持為隱蔽C2通道；Discord Webhook承擔入侵通知功能；檢測率52%-56%意味著近半數(shù)安全工具放行；沙盒分析置信度95%確認持久化遠程訪問意圖；Malpedia零匹配確認定制工具集；三個Web ID完整記錄攻擊鏈；100/100的惡意行為評分。

這些數(shù)字勾勒出一個趨勢：攻擊者不再追求技術(shù)上的"零日漏洞"，而是把精力放在"濫用已有信任"上——對機構(gòu)名稱的信任、對知名服務(wù)的信任、對安全工具檢測能力的信任。防御的重心，或許也該從"找漏洞"轉(zhuǎn)向"驗證信任"。