卡巴斯基 5 月 5 日披露,长期流行的 Windows 光盘映像软件 Daemon Tools 疑似被植入恶意后门。该公司称,后门最早于 4 月 8 日被发现,攻击仍在进行;其安全产品遥测数据显示,全球已有数千次感染尝试,并观察到至少十余台系统在安装恶意版本后被进一步投放恶意软件。
这起事件真正重要的地方,不在“又有一个 Windows 工具中招”,而在软件分发链本身可能被污染。对用户来说,危险不是点了来路不明的破解包,而是安装一个看似正常、来源可信的工具。对企业 IT 来说,这类攻击最麻烦:杀毒告警出现时,软件可能已经通过常规采购、镜像或员工自装进入内网。
Daemon Tools 后门事件的已知边界
Daemon Tools 由 Disc Soft 维护,主要用于挂载和管理光盘映像文件,在老用户和部分企业环境里仍有使用场景。卡巴斯基称,被攻击对象是安装恶意版本 Daemon Tools 的 Windows 用户;macOS 版是否被影响,Disc Soft 其他应用是否受波及,目前没有确认信息。
| 项目 | 已知情况 | 现实判断 |
|---|---|---|
| 发现时间 | 卡巴斯基称 4 月 8 日首次检测到后门 | 攻击窗口至少已持续数周 |
| 受影响对象 | 安装恶意版本 Daemon Tools 的 Windows 用户 | 不能扩大为所有用户已被入侵 |
| 成功入侵 | 至少十余台系统被追加投放恶意软件 | 更像“广撒网后挑目标” |
| 目标行业与地区 | 零售、科研、制造、政府;俄罗斯、白俄罗斯、泰国 | 已出现组织级风险 |
卡巴斯基还将攻击者与中文语言黑客组织联系起来,但这是基于恶意软件分析得出的归因判断,不等同于确认某个国家政府参与。网络攻击归因常受代码复用、工具外包和伪装线索影响,证据强度需要分层看。
攻击方式显示供应链风险,而非普通下载风险
供应链攻击的核心,是借可信软件完成不可信动作。TechCrunch 称其从 Daemon Tools 官网下载 Windows 安装程序后,使用 VirusTotal 检测发现文件似乎包含该后门。若这一点得到厂商确认,风险就不只属于“下载站不干净”,而是触及官方分发入口。
过去几年,同类事件已经多次出现。SolarWinds 事件证明,软件更新链能成为进入机构网络的捷径;TechCrunch 今年早些时候还报道过 Notepad++ 更新机制遭劫持,另有安全研究人员提醒 CPUID 网站访问者面临类似风险。和这些案例相比,Daemon Tools 的特殊处在于它不是云服务或开发工具,而是一个“老牌桌面工具”。这提醒企业:资产清单里那些不常被审计的小工具,未必风险更低。
普通用户先停装,企业要查终端和来源
Disc Soft 回应称已知悉报告并正在调查,暂未确认报告中的具体细节,并表示正以高优先级评估和处理潜在风险。接下来最该看的变量,是 Disc Soft 是否确认官网安装包或更新链被破坏、是否发布干净版本与哈希值、是否给出受影响版本范围。
对普通 Windows 用户,现实动作很简单:近期不要安装或重装 Daemon Tools;已安装者应运行可信安全软件全盘扫描,并留意异常启动项、未知进程和安全产品告警。对企业安全团队,重点不是立刻恐慌卸载所有工具,而是查询终端中 Daemon Tools 的安装时间、安装源、文件哈希和后续可疑连接,尤其排查 4 月 8 日之后新增安装或更新的机器。
这件事不重要的地方也要说清:目前没有证据表明 macOS 版或 Disc Soft 其他产品已受影响,也没有公开受害组织名称和准确感染总数。把风险边界说窄,不是淡化问题,而是让处置资源用在真正可能中招的系统上。