2026 年 4 月 9 日至 10 日,知名硬件检测工具 CPU-Z 与 HWMonitor 的官方下载链路遭遇供应链攻击。攻击者通过入侵 CPUID 的二级 API 接口,在约六小时内将下载链接重定向至木马化安装程序,导致超过 150 名用户感染 STX RAT(远程控制木马兼信息窃取恶意软件)。这是一次典型的软件供应链攻击,其攻击手法、工程检测路径与响应策略值得安全工程师深入剖析。

攻击技术细节与时间线

根据卡巴斯基实验室的研报,攻击发生于 2026 年 4 月 9 日 15:00 UTC,持续至 4 月 10 日 10:00 UTC。攻击者获取了 CPUID 网站的二级 API 访问权限,该 API 负责分发下载链接而非托管实际二进制文件。值得注意的是,CPUID 官方声明其签名后的原始二进制文件未被篡改,攻击仅作用于分发层面的链接重定向。

受影响的版本包括 CPU-Z 2.19、HWMonitor Pro 1.57、HWMonitor 1.63 以及 PerfMonitor 2.04。攻击者将恶意文件伪装为 HWiNFO 安装程序(文件名为 HWiNFO_Monitor_Setup),使用 Inno Setup 打包俄罗斯语言安装器。恶意变种包含一个名为 CRYPTBASE.dll 的恶意 DLL,通过 DLL 侧加载(Side Loading)技术执行。该 DLL 在连接命令控制服务器(C2)之前会执行反沙箱检查,若检测到虚拟化环境则静默退出。

最终载荷为 STX RAT,这是一种在 2026 年被 eSentire 安全研究团队首次文档化的远控木马,具备浏览器凭证窃取、屏幕截图、键盘记录等完整的信息窃取能力。VirusTotal 上有 20 款杀毒引擎将该变种标记为 Tedy Trojan 或 Artemis Trojan,但初期的检测率并不理想,反映出攻击者使用了多阶段加载与内存驻留技术来规避传统静态检测。

攻击链分析:威胁指标与 TTPs

从威胁建模角度,此次攻击展现了现代供应链攻击的典型特征。攻击者选择的攻击时点恰好在主要开发者度假期间(复活节假期),这种时机选择表明攻击者具备目标情报收集能力。技术层面,攻击者使用的 TTP 包括:

首先是通过入侵二级 API 实现分发链路劫持,而非直接篡改签名二进制文件,这种方式规避了代码签名验证机制。其次使用了多阶段加载:合法签名的可执行文件加载恶意 CRYPTBASE.dll,再由该 DLL 从内存中解密并执行最终 payload。再次是反沙箱检测与 evade EDR/AV 的混淆技术,包括从 .NET 程序集代理 NTDLL 功能调用。

卡巴斯基公布的 IOCs(妥协指标)包括恶意样本的 SHA-256 哈希值、恶意 DLL 文件名(CRYPTBASE.dll)以及 C2 服务器域名。建议安全团队将这些指标导入 SIED 或 EDR 平台进行历史日志回溯。

工程级检测方案:二进制完整性验证

针对此类供应链攻击,工程级检测需要建立多层防御体系。首要措施是建立官方哈希白名单机制。CPUID 在事件后应发布官方 SHA-256 哈希值,安全团队应将这些哈希值导入终端防护系统。以 CPU-Z 2.19 为例,其官方哈希应在事件响应公告中明确列出。建议在软件部署流程中嵌入自动化哈希校验步骤,拒绝哈希不匹配的安装程序。

第二层是代码签名验证。CPU-Z 和 HWMonitor 作为有签名的应用程序,工程师应在部署前验证 Authenticode 签名链的完整性。可以使用 PowerShell 的 Get-AuthenticodeSignature cmdlet 或 signtool.exe 进行批量验证。若发现签名链断裂或签名者异常,应立即阻断安装流程。

第三层是 DLL 侧加载检测。攻击者使用 CRYPTBASE.dll 进行侧加载,这是一种成熟但可被检测的攻击技术。建议部署以下监控规则:监控非 System32 目录下的 CRYPTBASE.dll 加载行为;监控应用程序目录中是否存在异常的 DLL 文件;使用 Sysmon 事件 Event ID 7(Module Load)记录所有 DLL 加载事件,重点关注白名单外的 DLL。

第四层是网络层 C2 通信检测。根据卡巴斯基报告,恶意 DLL 会尝试连接特定的 C2 服务器。建议在网络层部署 DNS 日志分析,检测终端是否向异常域名发起解析请求;使用 IDS/IPS 规则匹配已知的恶意 C2 特征。

监控参数与响应清单

为帮助安全团队建立持续监控能力,以下提供可落地的参数配置建议:

在终端检测层面,建议将 Sysmon Event ID 7(Module Loaded)纳入核心日志采集范围,保留至少 90 天的原始数据。设置 CRYPTBASE.dll 加载的告警规则,结合进程路径进行上下文分析 —— 若该 DLL 被非 CPUID 官方程序加载,立即触发 High Severity 告警。对于 CPU-Z 和 HWMonitor 进程,建议监控其网络外联行为,特别是向非官方域名的连接尝试。

在文件完整性层面,建议建立已知良好哈希库,包含 CPUID 全系列产品的官方哈希值,每周更新。自动化部署脚本应在安装前执行哈希比对,建议阈值设为 SHA-256 完全匹配,任何差异都应阻止安装并触发事件工单。

在网络监控层面,建议在边界防火墙或代理服务器上部署出站流量分析规则,检测以下行为模式:终端频繁向新解析的域名发起 HTTP/HTTPS 请求(可能指示 C2 通信);相同源 IP 在短时间内向多个异常域名发起请求;与已知恶意 IP 段的连接尝试。

在事件响应层面,若确认终端已感染,建议按以下流程处置:隔离受感染终端;导出内存镜像供逆向分析;重装受影响的 CPU-Z/HWMonitor 并使用官方修复后的版本;检查是否还存在其他窃取凭证的横向移动。建议受影响用户在 72 小时内完成终端安全检查,并修改可能泄露的在线凭证。

总结与防御纵深

CPU-Z/HWMonitor 供应链攻击事件揭示了一个关键安全现实:即使软件供应商的原始二进制文件未被篡改,分发链路的短暂妥协仍可导致大量用户感染。这要求安全团队建立覆盖「下载 — 安装 — 运行 — 网络」全生命周期的检测能力。

对于依赖第三方工具的企业,建议采取以下防御策略:将关键工具的官方哈希入库并自动化校验;部署终端 EDR 规则监控 DLL 加载异常;定期审计软件分发链路的访问日志;对高风险工具(如系统监控、硬件检测)实施网络层出站控制。这些工程级措施能够在此类供应链攻击窗口期内及时阻断恶意软件的落地与执行。