2026-03-12 22:56:30 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了名为BlackSanta的恶意软件攻击活动。攻击者通过社会工程学诱导HR人员下载恶意ISO文件，利用隐写术和DLL侧加载技术投放载荷。BlackSanta作为BYOVD组件能在内核级别禁用防病毒和EDR保护，为后续凭证窃取和数据泄露扫清障碍。该攻击活动持续一年多，攻击手法成熟，融合了多种隐蔽技术。 综合评分： 78 文章分类： 恶意软件,威胁情报,漏洞分析,社会工程学

cover_image

“黑圣诞老人”恶意软件会在内核级别禁用防病毒和 EDR 保护

会杀毒的单反狗会杀毒的单反狗

军哥网络安全读报

2026年3月12日 09:02 中国台湾

导读

一场持续进行的攻击活动（可能源自讲俄语的攻击者）利用社会工程学手段诱骗受害者从 Dropbox 等云存储服务下载 ISO 文件。

该 ISO 文件看起来就像是系统的一部分，受害者可以直接访问。打开其中的文件会触发一系列恶意软件的下载，其中包括一个被发现公司 Aryaka 命名为BlackSanta 的模块。

Aryaka 安全工程和 AI 战略副总裁 Aditya Sood 警告说：“BlackSanta 是一个基于 BYOVD 的专用组件，它会在内核级别禁用防病毒和 EDR 保护，从而为凭证窃取、系统侦察和最终数据泄露扫清障碍，而阻力却极小。”

Aryaka 的调查报告解释了此次攻击活动如何针对人力资源招聘这一通常更受信任但安全性较低的工作流程。

此次活动的目标是招聘，因为人力资源部门习惯于打开附件，而且经常会打开附件——在 ISO 中找到的简历似乎是合法的，并且已经在公司内部。

Aryaka 无法证明受害者是如何被诱骗下载恶意 ISO 文件的，但他推测这是网络钓鱼攻击。如果网络钓鱼的目标是人力资源部门的员工，那么他/她看到挂载的 ISO 文件中包含看似简历的内容时，应该不会感到意外，并且更有可能打开该文件。

Aryaka 报告提供了一个 ISO 示例，并解释了它是如何传播恶意软件的。

BlackSanta 是一个恶意软件模块，它会在释放恶意软件的最终目的之前将其摧毁 EDR 和 AV。

在这个样本中，ISO 文件包含四个看似无害的文件。安全分析师可能会立即对一个 3KB 的 PDF 文件和一个 PowerShell 脚本产生怀疑，但人力资源部门可能根本不会注意到。

该PDF文件是一个链接文件，点击后会启动cmd.com。“它会执行一个经过混淆处理的命令，该命令会动态构建并启动powershell.exe，并启用隐藏窗口设置和执行策略绕过功能，”报告指出。最终，它会从已挂载的ISO镜像中运行script.ps1脚本。

该脚本将 PNG 文件复制到单独的位置，加载该文件，并使用最低有效位 (LSB) 隐写术从图像中提取隐藏数据。然后，将提取的数据解码为代表 PowerShell 语句的 UTF-8 字符串，并使用 Invoke-Expression 命令在内存中执行该 PowerShell 语句。

新脚本从外部域下载 SumatraPDF.zip 文件，并将其解压到临时文件夹。该 ZIP 文件包含两个文件：SumatraPDF.exe 和 DWrite.dll。脚本运行 EXE 文件，该文件会加载 DLL 文件（一个经过篡改的合法 DLL 文件），该 DLL 文件会被误认为是正版。

一旦被侧载，这个被篡改的DLL会通过读取USERNAME和COMPUTERNAME环境变量来收集基本的系统信息以及用户和主机上下文。这些信息结合起来，可以为攻击者提供一个包含系统和用户上下文的指纹字符串。

C2 还会传递其他有效载荷。它会准备环境：如果识别出俄语或独联体地区或语言，则退出；如果找到调试器，则退出；如果找到沙箱，则引入噪声和延迟；并修改 Windows Defender 的注册表项。

然后，它注入了 BlackSanta（在其代码中找到的名称），Aryaka 将其描述为一个基于 BYOVD 的专用组件。“BlackSanta 会枚举正在运行的进程，并将每个名称与硬编码的反病毒和 EDR 可执行文件列表进行比较。如果找到匹配项，它会检索进程 ID，并使用其加载的驱动程序在内核级别解锁并终止目标进程，从而绕过标准保护措施。”Aryaka 报告称。

Sood 将 BlackSanta 描述为此次攻击活动最令人担忧的功能。“它会在内核级别禁用防病毒和 EDR 保护，从而为窃取凭证、系统侦察以及最终几乎不受阻碍地窃取数据扫清障碍。”他说。

Aryaka 发现证据表明，该攻击活动已持续一年之久，且鲜为人知，其间一直在窃取数据和加密货币痕迹。“这不是机会主义恶意软件。”Sood 表示，“而是经过精心策划的入侵工程。此次行动表明，攻击者已相当成熟，能够将社会工程、系统漏洞利用、隐写术和内核级攻击等手段融合起来，实现隐蔽的持久化和凭证窃取。”

技术报告：

https://www.aryaka.com/docs/reports/blacksanta-edr-killer-threat-report.pdf

新闻链接：

https://www.securityweek.com/blacksanta-malware-activates-edr-and-av-killer-before-detonating-payload/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报会杀毒的单反狗会杀毒的单反狗《“黑圣诞老人”恶意软件会在内核级别禁用防病毒和 EDR 保护》