前 言
近期,国产大模型DeepSeek凭借其高效的推理能力、创新性的优化技术、低门槛本地化部署能力、灵活的开源商业授权等,迅速成为开源生态中的“现象级选手”。然而,技术普及的加速期往往伴随着网络安全攻防对抗的升级。当前,大量政府、企业和个人开发者在基于DeepSeek本地测试和部署行业专属模型,由于官网服务经常繁忙,大家开始选择Ollama+OpenWebUI、LM Studio等工具进行本地快速部署。这种企业渴求的“AI加速度”,也正成为不法分子眼中极具诱惑的“新猎物”。前期已发现大量仿冒DeepSeek的钓鱼域名、钓鱼攻击、假冒的恶意应用程序等,近期又有攻击者开始将矛头对准DeepSeek本地化部署的脆弱防线。
2025年2月25日,启明星辰ADLab在威胁监测中发现本土最为活跃的“银狐”组织正在针对DeepSeek的本地化部署开展网络攻击——其将传统钓鱼工具链升级转化为“AI劫持新武器”:通过捆绑正常的“ds大模型安装助手”程序,针对试图自动化部署DeepSeek的人员实施攻击并最终植入HackBrian RAT,并回连位于香港的C&C服务器。同时要注意,除了本地化部署过程需要注意安全风险以外,相关程序本身也存在诸多风险点,如未加密的API密钥、敞开的Ollama端口、脆弱的访问控制等。这些安全隐患同样也可能成为黑客们的“自动化血包”,黑客通过网络攻击植入木马可以进一步控制企业的大模型AI平台以及其中各种智能体,且可以轻易的窃取机密数据、破坏模型数据、劫持企业算力等,需要引起相关人员足够的重视。
“银狐”最初作为黑产组织于2023年3月底被曝光,其通过仿冒网站、SEO优化排名等手段传播木马程序,主要针对金融、证券、教育、设计、工业等多个行业。由于核心源码(如winos 4.0)在黑产圈泄露扩散后,“银狐”逐渐从单一组织演变为广泛被黑产团体甚至APT组织二次开发的恶意家族。其使用包括基于开源Gh0st木马改良的银狐远控、ValleyRAT、HackBrian RAT等窃密木马,支持截屏、键盘记录、代理映射等功能,并通过钓鱼邮件、即时通讯工具、水坑网站等多渠道传播,针对不同行业定制化投递钓鱼内容,并频繁更新技术链以实现免杀和对抗检测。此次发现的攻击活动说明各大黑客组织已瞄准这一高热度场景,需要引发高度警惕。
02 攻击活动分析
2.1 攻击诱饵
2025年2月25日,启明星辰ADLab捕获到一起伪装成“ds大模型安全助手”安装包并诱骗相关用户的恶意攻击活动。由于近期DeepSeek私有化部署非常火热,各大开源论坛、社区存在大量的教程实例,部分安全意识较弱的人群极易被不法分子发布传播的恶意软件诱骗,以下是我们捕获到的恶意样本信息。
Hash | 样本名称 | 文件类型 | 文件大小 |
4039d84a8bdccbd0ff83be0a2af168af | ds大模型安全助手、deepseek_install | EXE | 132.64 MB |
“银狐”首先瞄准了一些常用的大模型自动安装助手软件,并在其上捆绑恶意代码,之后主要通过仿冒水坑网站、社交平台、开源社区等传播和投递ZIP压缩包至攻击目标,受害者解压后会得到名为ds大模型安装助手或deepseek_install的恶意捆绑安装文件,一旦尝试安装即会中招。相关执行流程如下所示,首先,用户执行恶意安装文件时会弹出伪造的安装界面。
程序安装后会在桌面释放原始的正常安装文件(ds大模型安装助手 1.0.0.6_1740119628),使用者需要继续点击“快速安装”才会真正安装ds大模型安装助手软件。
该软件提供商业付费的DeepSeek模型自动化部署服务,可以便于新手用户一键快速地部署相应模型。
2.2 攻击样本分析
在最初执行恶意安装包软件时,程序在释放原始安装助手的同时会在目录(%APPDATA%)下创建文件夹Axialis,并解压释放多个恶意文件如下图所示。
其中,Decision为程序初始执行的vbs脚本,之后通过powershell执行silently脚本,再进一步加载Update.dll,最后从Config中提取解密出后续使用的shellcode。
Decision.vbs的功能主要是静默执行PowerShell脚本%APPDATA%\\\\\\\\\\\\\\\\Axialis\\\\\\\\silently.ps1,-ExecutionPolicy Bypass可以绕过脚本执行策略限制,强制允许运行脚本。
Powershell脚本则用于动态加载并执行%APPDATA%\\\\\\\\\\\\\\\\Axialis\\\\\\\\Update.dll中的导出函数TCGamerUpdateMain()。
Updata.dll文件大小达到了75.42MB,攻击者主要是通过大文件的技术方式绕过安全沙箱检测,目前该样本能够躲避大部分安全软件的查杀,截止发文的报毒情况如下图所示。
Updata.dll主要通过单实例检测和动态配置文件选择来隐蔽持久化和规避检测,其会创建名为“VJANCAVESU”的互斥体进行单实例检测,确保程序只能运行一个实例。同时通过动态配置文件选择加载和解密同目录下的Config文件,首次运行时使用 Config.ini 作为配置文件,如果互斥体已存在,则加载备用配置Config2.ini。
Config文件解密后为一段shellcode,我们在进一步分析后确认该shellcode 符合sRDI(Shellcode Reflective DLL Injection)的特点。
sRDI(Shellcode Reflective DLL Injection)是一种高级的内存注入技术,主要用于隐蔽地加载和执行恶意代码,同时规避传统安全检测。它的核心思想是将 DLL文件转换为独立的Shellcode,并直接在目标进程内存中反射加载(无需通过Windows标准DLL加载流程)。sRDI为开源项目,项目地址:https://github.com/monoxgas/sRDI。
通过对比sRDI源码我们可以确认该Shellcode属于sRDI生成,分别可以找到对应的Shellcode文件头、RDI Shellcode等特征。
sRDI项目在生成Shellcode时具有一定规则,包括Bootstrap shellcode、 RDI shellcode、DLL bytes、User data几部分并按照顺序排列,因此我们可以通过寻找RDI Shellcode结尾或直接搜索MZ头来快速寻找到原始DLL数据,从而简化分析流程。
该DLL会创建多个线程进行各类初始化对抗和持久化工作,如命令powershell -ExecutionPolicy Bypass -Command \\\\\\\\"Add-MpPreference -ExclusionPath "C:\\\\\\\\\\\\\\\\"\\\\\\\\",关闭 Windows Defender 对 C 盘根目录的实时监控和扫描等。
该DLL还会通过base64解码脚本内容,分别写入updated.ps1和PolicyManagement.xml文件,并调用Powershell命令执行updated.ps1以实现持久化。
之后,此DLL会连接27.124.40.155[:]18852下载并执行后一阶段的Shellcode,如下图所示。
第二阶段shellcode与第一阶段相似,同样使用sRDI项目生成。以同样方法提取DLL后,可以提取到最后的RAT,经分析为银狐常使用的HackBrian RAT。其配置信息如下图所示。
解密后的C&C为27.124.40.155[:]18091,RAT连接C&C并开启新线程接收指令如下图所示。
目前该服务器仍然活跃,且在Virustotal上无报毒。27.124.40.155服务器曾于2023年被披露用于银狐的早期攻击活动,结合此次攻击的手法、木马、特征等攻击特点,我们判定此次攻击源自银狐组织。
HackBrian RAT是银狐的常用木马且近期已多次使用,因此不做过多分析。其主要采用模块化设计,利用远程下发DLL和内存加载实现,主要功能包括:
获取用户名、计算机系统、处理器、显卡、显示器、硬盘、前台窗口名等系统信息
进程注入
命令执行
键盘记录
注册表操作
屏幕监控(差异屏幕)
03 本地化部署风险
除了本地自动化部署过程中可能出现的安全风险外,部署程序本身也可能存在诸多风险点,如未加密的API密钥、敞开的Ollama端口、脆弱的访问控制等等。
目前一些常见的本地化部署组合包括Ollama+OpenWebUI、Ollama+LobeChat、Ollama+Cherry Studio、LM Studio等等。
其中Ollama是一个开源应用程序,其支持在 Windows、Linux 和 macOS 设备上本地部署大型语言模型(LLM)。它通过简化的打包部署流程和 RESTful API(默认端口 11434),成为个人电脑运行大模型的主流方案,广泛应用于 DeepSeek-R1 等模型的本地化部署。然而,其默认配置可能存在安全隐患,如在Docker中以root权限运行时会将API暴露至公网,且接口普遍缺乏鉴权机制。通过资产识别可以看到公网目前仍存在大量开放端口的本地部署设备,建议相关用户检查自身运行情况,以避免成为攻击跳板或遭到算力窃取。
此处以Ollama为例介绍,其它软件也同样面临类似风险需要引起重视。Ollama目前可能存在的主要安全风险如下:
(1)未授权访问风险
模型删除(DELETE /api/delete)
模型窃取(POST /api/pull 结合自定义镜像源)
算力窃取(POST /api/generate 滥用)
(2)远程代码执行(CVE-2024-37032)
路径遍历漏洞允许攻击者通过伪造镜像文件实现任意文件读写,影响 0.1.34 之前版本。
(3)模型投毒攻击
通过接口替换正常模型文件,注入恶意输出逻辑。
(4)DoS 攻击漏洞(CVE-2024-39721)
反复调用 /api/create 耗尽系统资源,导致服务崩溃。
(5)敏感信息泄露(CVE-2024-39719)
利用 /api/create 端点扫描服务器文件。
本地化部署安全建议:
(1)网络隔离
设置 OLLAMA_HOST=127.0.0.1 限制本地访问
通过防火墙封锁 11434 端口公网暴露(如 ufw deny 11434)
(2)权限控制
避免以 root 权限运行 Docker 容器
使用反向代理(如Nginx)添加OAuth2.0鉴权
(3)漏洞修复
升级至最新版本(≥0.1.34)修复CVE-2024-37032
定期检查 GitHub 安全公告
(4)监控加固
启用 API 访问日志审计
使用 Docker 资源限制(如 --memory 和 --cpus)防止算力窃取
04 总 结
本文披露了在“DeepSeek”话题超高热度的背景下,银狐组织利用相关热点实施的窃密攻击活动。攻击者将自身恶意程序与DeepSeek相关的本地自动部署软件捆绑混合进行传播,以迷惑受害者并植入窃密木马。攻击者采用混淆免杀、多层加密、反调试等大量反分析手段以对抗分析并窃取用户的各类敏感信息,对于中招用户具有很大的危害性。
从近期大模型的相关网络安全事件来看,不论是大模型厂商,还是大模型用户,都面临诸多安全风险,如系统硬件安全风险,大模型供应链安全风险和大模型自身安全风险等等。从大模型开源社区/平台存在文件安全检测的缺陷,部分在线商用大模型仍然存在严重的内容安全问题(可能被攻击者恶意利用)等,到近期用户侧出现大量的终端钓鱼攻击、水坑攻击等,再到现在的本地化部署攻击,说明大模型用户同样需要加强安全意识。其一,在使用大模型及部署本地模型时需要确认网站、软件的合法性和可靠性,并且避免向大模型输入敏感或上传机密文件;其二,在下载开源大模型时需要对相关的大模型文件进行安全检查,避免在主机上加载大模型文件或部署时被黑客入侵;其三,在本地化部署时同样需要关注如API密钥安全、应用开放端口风险以及访问控制等,避免造成经济损失。
声明:本文来自ADLab,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
