（转帖）杀毒软件集体失灵？APT 组织（Dragon Breath）使用新型木马 RoningLoader ...

x-天秤座

杀毒软件集体失灵？APT 组织（Dragon Breath）使用新型木马 RoningLoader 带着 “合法驾照” 偷家了！

作者：外向宇宙dfSreD4

“刚装的360突然闪退，Windows Defender直接罢工 —— 电脑难道中邪了？” 最近不少网友的离奇遭遇，背后藏着一个名叫RoningLoader的新型木马。Elastic安全实验室最新预警显示，这个由 “龙息”（Dragon Breath）APT组织操盘的恶意程序，带着 “官方认证” 的驱动程序闯系统，能把主流杀毒软件一锅端，堪称近期最狡猾的 “电脑窃贼”。

一、伪装大师上线：装Chrome的瞬间，木马偷偷 “搭车”

RoningLoader的入侵套路，完美诠释了什么叫 “最危险的藏在最安全的里”。它从不会赤裸裸地弹窗诱惑，而是披着 “常用软件” 的外衣敲门 —— 比如伪装成Google Chrome安装包、Microsoft Teams更新程序，甚至是办公必备的PDF阅读器补丁。
你以为双击安装的是正经软件？其实运行的是个 “套娃安装器”：
第一层迷惑：真的给你装上能用的Chrome或Teams，让你毫无察觉异常；
第二层偷袭：暗地里在C:\Program Files创建名为 “Snieoatwtregoable” 的隐蔽文件夹，偷偷释放两个核心文件 —— 负责解密的DLL和加密的 “tp.png”（其实是恶意载荷）；
第三层激活：DLL文件用 “异或 + 旋转” 的组合算法解开加密文件，就像用特制钥匙打开宝箱，瞬间唤醒藏在里面的恶意代码。
更阴的是，整个过程没有弹窗、没有报错，等你发现电脑变慢时，木马早已经在系统里 “安家落户” 了。

二、杀手锏：带着 “合法驾照” 的恶意驱动

普通木马怕杀毒软件，RoningLoader却能反过来 “手撕” 安全工具，秘诀在于它手里的 “王牌”—— 一个名叫ollama.sys的签名驱动程序。
这东西相当于木马的 “伪造驾照”：
驱动程序带着昆明某电商公司的数字签名，有效期到2026年，Windows系统见了会默认 “放行”；
但实际上，这个驱动是攻击者盗用证书炮制的 “凶器”，专门负责执行内核级操作 —— 直接调用系统底层API终止进程，普通杀毒软件根本拦不住。
针对不同杀毒软件，它还有 “定制化攻击方案”：
对Windows Defender、金山毒霸这类常规选手，直接用驱动发 “终止令”，一秒让安全进程下线；
对奇虎360这种防护较强的，先改防火墙规则断网 “封嘴”，再把恶意代码注入系统自带的 “卷影复制服务”（vssvc.exe），借着系统进程的 “马甲” 搞破坏。
更可怕的是它有 “Plan B”：一种方法失败，立刻切换其他技巧，比如用2023年才曝光的 “线程池注入” 技术，通过文件写入触发器偷偷执行代码，连EDR工具都难发现痕迹。

三、终极目的：给 “龙息” 组织当 “开门小弟”

RoningLoader本身不算最致命的 “杀手”，却是个极其专业的 “开门小弟”。它费这么大劲禁用安全软件，最终目的是给背后的 “龙息” APT组织铺路 —— 偷偷部署升级版的gh0st远控木马（RAT）。
一旦远控木马上线，你的电脑就成了攻击者的 “提款机”：
键盘记录、文件窃取、摄像头监控全不在话下；
攻击者还能通过加密通信下达指令，后续想装挖矿程序、搞数据勒索，全看他们心情；
更麻烦的是，它会创建名为 “
microsoftsoftware2shadowcop4yprovider” 的伪装服务，就算你重启电脑，恶意程序也能死灰复燃。
要知道，“龙息” 组织可是APT圈的 “老油条”，之前就多次针对中国用户搞攻击，这次升级RoningLoader，明显是把 “偷家技巧” 练得更纯熟了。

四、紧急自救指南：3步识破木马诡计

面对这种 “带驾照的木马”，普通用户也能靠这几招自保：
1. 先查 “可疑文件夹”
立刻打开C:\Program Files和C:\ProgramData，如果发现这些异常目录，果断删除并全盘扫描：
Snieoatwtregoable
roninggoldendays.dll（文件名带 “roning” 关键词）

2. 给杀毒软件 “加buff”
关闭Windows的 “驱动程序强制签名”？别瞎搞！反而会让更多恶意驱动趁虚而入；

正确操作：打开杀毒软件的 “内核防护”“驱动拦截” 功能，比如360的 “系统加固”、火绒的 “内核级防护”，能拦截未认证的驱动加载；
重点监控 “vssvc.exe” 进程：如果这个系统服务突然占用大量CPU，很可能被注入恶意代码了。

3. 安装软件 “三不原则”

不装来源不明的 “绿化版”“破解版” 软件，尤其是Chrome、Teams这类官方有免费正版的；
不双击邮件附件里的.exe和.rar文件，哪怕发件人看着眼熟，先打电话核实；
安装时多看一眼：如果提示 “需要安装额外组件”“关闭安全软件才能继续”，立刻终止安装 —— 正经软件从不会提这种要求！

五、最后提醒：别给木马 “递钥匙”

RoningLoader再狡猾，也得靠 “用户双击” 才能进门。那些看似方便的 “破解软件”“快速更新包”，很可能就是木马的 “邀请函”。
记住：杀毒软件失效不是 “中邪”，而是木马用了 “伪造驾照”；电脑变慢别光怪配置，先查查有没有可疑进程在偷偷 “搞事情”。转发给家里的长辈和公司同事，别让大家稀里糊涂被木马 “偷了家”！

00006666

现在新的360会拦一些断网操作，报dciom调用，以及你用WFP也会被拦截。