Telegram成黑客新跳板：1個(gè)API接口讓W(xué)indows防線

3月30日，K7 Security Labs發(fā)布了一份讓安全圈坐不住的報(bào)告。他們追蹤到一款名為ResokerRAT的新型木馬，正把Telegram的Bot API變成攻擊者的"隱形專線"——不是偷數(shù)據(jù)，而是直接把整個(gè)通訊基礎(chǔ)設(shè)施據(jù)為己有。

這事兒的離譜之處在于：當(dāng)企業(yè)IT還在頭疼怎么封禁可疑域名時(shí)，攻擊者已經(jīng)大搖大擺地住進(jìn)了員工每天都在用的聊天工具里。

把Telegram變成"合法"的犯罪通道

傳統(tǒng)木馬需要自己搭建指揮服務(wù)器（C2），這相當(dāng)于犯罪分子要在街上租個(gè)門面，遲早被巡邏的發(fā)現(xiàn)。ResokerRAT的操作是把犯罪現(xiàn)場搬進(jìn)人來人往的商場——Telegram的服務(wù)器集群。

惡意軟件作者硬編碼了一個(gè)Bot令牌和聊天ID，然后像普通用戶一樣調(diào)用getUpdates接口輪詢新指令。所有流量走HTTPS加密，域名是telegram.org，證書是正規(guī)的。企業(yè)防火墻看到這一幕，基本會(huì)放行。

K7的研究員Priyadharshini在報(bào)告中打了個(gè)比方：這就像是把密信塞進(jìn)每天 millions 人經(jīng)過的地鐵通勤人流里，安檢員不可能逐個(gè)拆開檢查。

更狡猾的是雙向通道設(shè)計(jì)。攻擊者不僅能下發(fā)指令， stolen data 也能通過同一個(gè)Bot回傳。屏幕截圖、鍵盤記錄、系統(tǒng)信息——全部打包成Telegram消息發(fā)出去，混在正常的聊天記錄里。

企業(yè)網(wǎng)絡(luò)監(jiān)控工具通常會(huì)對(duì)異常DNS請(qǐng)求、陌生IP連接報(bào)警，但對(duì)telegram.org的HTTPS流量？那是白名單常客。

Resoker.exe的"入職流程"：從潛伏到掌權(quán)

這個(gè)可執(zhí)行文件啟動(dòng)后的第一件事，是確保自己是"獨(dú)苗"。它創(chuàng)建一個(gè)名為"Global\ResokerSystemMutex"的互斥鎖，防止重復(fù)感染導(dǎo)致暴露。

接著進(jìn)入反偵察模式。調(diào)用IsDebuggerPresent API檢查是否有調(diào)試器附著，一旦發(fā)現(xiàn)，立即觸發(fā)自定義異常處理打亂分析。這相當(dāng)于小偷進(jìn)屋前先看看有沒有監(jiān)控，有就假裝走錯(cuò)門。

權(quán)限升級(jí)環(huán)節(jié)更直接。Resoker.exe用ShellExecuteExA帶上"runas"參數(shù)重啟自己，彈出一個(gè)UAC提示（圖4）。用戶如果習(xí)慣性點(diǎn)擊"是"，木馬就拿到了管理員令牌。很多非技術(shù)崗位的Windows用戶對(duì)這個(gè)彈窗已經(jīng)麻木了。

站穩(wěn)腳跟后，它開始清理"目擊證人"。Taskmgr.exe（任務(wù)管理器）、Procexp.exe（Process Explorer）、ProcessHacker.exe——這些安全分析工具一旦被檢測到運(yùn)行，會(huì)被立即終止。同時(shí)通過SetWindowsHookExW安裝全局鍵盤鉤子，屏蔽ALT+TAB和CTRL+ALT+DEL。

用戶被困在一個(gè)看似正常的系統(tǒng)里，實(shí)際上已經(jīng)失去了控制權(quán)。

功能清單：一個(gè)"瑞士軍刀"式的間諜工具

Priyadharshini的團(tuán)隊(duì)拆解出了完整的指令集。ResokerRAT不是那種只會(huì)偷密碼的單一功能木馬，它的設(shè)計(jì)目標(biāo)是長期駐留、全面監(jiān)控。

屏幕捕獲功能可以按需抓取畫面或持續(xù)監(jiān)控。鍵盤記錄器記錄所有輸入，包括那些沒按回車的內(nèi)容——密碼、搜索詞、內(nèi)部系統(tǒng)賬號(hào)。權(quán)限維持機(jī)制確保系統(tǒng)重啟后仍能復(fù)活。

它還能下載并執(zhí)行額外載荷。這意味著初始感染只是第一步，攻擊者可以根據(jù)目標(biāo)價(jià)值隨時(shí)投放勒索軟件、挖礦程序或更專業(yè)的間諜工具。

Task Manager被禁用不是技術(shù)炫技，而是心理戰(zhàn)。當(dāng)普通用戶發(fā)現(xiàn)無法打開任務(wù)管理器查看異常進(jìn)程時(shí)，第一反應(yīng)通常是重啟電腦——而這往往解決不了問題，因?yàn)槟抉R已經(jīng)寫了啟動(dòng)項(xiàng)。

為什么Telegram成了"完美掩護(hù)"

Bot API的設(shè)計(jì)初衷是讓開發(fā)者用簡單HTTP請(qǐng)求與Telegram交互。任何能聯(lián)網(wǎng)的設(shè)備都能成為Bot，不需要服務(wù)器，不需要復(fù)雜認(rèn)證。這個(gè)低門檻特性被攻擊者逆向利用。

從網(wǎng)絡(luò)流量角度看，ResokerRAT的行為模式和一個(gè)正常的通知Bot沒有區(qū)別：定期GET請(qǐng)求、JSON響應(yīng)、偶爾POST消息。深度包檢測（DPI）工具需要解析到應(yīng)用層才能發(fā)現(xiàn)異常，而TLS加密讓這變得困難。

Telegram本身不是漏洞來源，它的基礎(chǔ)設(shè)施被當(dāng)作"可信中間人"。這種攻擊模式被安全社區(qū)稱為Living-off-the-Land的變種——不是利用系統(tǒng)自帶工具，而是利用互聯(lián)網(wǎng)上的合法服務(wù)。

K7 Security Labs的檢測數(shù)據(jù)顯示，這類濫用云服務(wù)的木馬在過去18個(gè)月增長了340%。ResokerRAT不是第一個(gè)，也不會(huì)是最后一個(gè)。

防御者的困境：封還是不封？

企業(yè)安全團(tuán)隊(duì)現(xiàn)在面臨一個(gè)尷尬選擇。全面封禁Telegram會(huì)影響正常業(yè)務(wù)溝通，尤其是跨國團(tuán)隊(duì)和遠(yuǎn)程辦公場景。但不封，就等于給攻擊者留了一條高速公路。

一些機(jī)構(gòu)開始部署B(yǎng)ot流量分析，通過行為模式識(shí)別異常：正常Bot的交互頻率、消息大小、時(shí)間分布都有規(guī)律，而C2通信往往呈現(xiàn)機(jī)械化的輪詢特征。但這需要相當(dāng)精細(xì)的基線建模，中小公司的安全運(yùn)營中心很難負(fù)擔(dān)。

端點(diǎn)檢測與響應(yīng)（EDR）工具是另一條防線。ResokerRAT在本地有不少可疑行為——?jiǎng)?chuàng)建全局鉤子、終止安全進(jìn)程、請(qǐng)求管理員權(quán)限——這些都可以被行為分析捕獲。前提是EDR本身沒有被優(yōu)先干掉。

Priyadharshini在報(bào)告末尾提到了一個(gè)細(xì)節(jié)：ResokerRAT的代碼中殘留著一些未使用的功能模塊，包括針對(duì)macOS的路徑字符串和某款國產(chǎn)殺毒軟件的規(guī)避邏輯。開發(fā)者在為跨平臺(tái)部署做準(zhǔn)備，同時(shí)也在針對(duì)特定地區(qū)優(yōu)化。

下一個(gè)版本的ResokerRAT會(huì)出現(xiàn)在哪里？攻擊者的Telegram Bot列表里，又藏著多少尚未被發(fā)現(xiàn)的"數(shù)字內(nèi)鬼"？