現代勒索軟體如何入侵——以及 Bromure 如何把門關上
多數勒索軟體不是從零時差漏洞開始的,而是從一個瀏覽器分頁開始的。以下是 2026 年這條攻擊鏈真正的運作方式——以及當它落在一款從設計之初就準備承受這一記的瀏覽器上時,會是什麼樣子。
讓你失去所有檔案最快的方式,並不是什麼穿著連帽外套的駭客,而是在一個再普通不過的下午,在一個分頁裡,按下一次點擊。勒索軟體並不神祕,它是一條產線——而這條產線大部分的流程,都經過瀏覽器。
你大概已經讀過不只一則這樣的故事。某家醫院無法收治病人。某間小型律師事務所打不開任何一份客戶檔案。某個市政府倒退回紙筆辦公三個星期。某對退休夫妻,過去二十年的照片、報稅資料、每一份掃描文件,全都突然消失,取而代之的是一封用英文寫成、語氣客氣的訊息,以及一組錢包地址。
勒索軟體無處不在,而且還在不斷擴張。但同時——這才是重點——在進入點這一層,它幾乎完全是可以防範的;而在 2026 年,那個進入點幾乎永遠是同一個地方:一個網頁,在某個普通日子裡,被一款普通的瀏覽器載入。
勒索軟體是一門產業,不是什麼惡作劇。
很多人心中對攻擊者的印象——一個獨自坐在筆電前的傢伙——已經過時了四十年。現代勒索軟體是當生意在經營的,有部門、有預算、有薪資、有人事糾紛、有客服時段,有些甚至還有季度報表。
一次典型的行動,至少牽涉到:
- 初始存取掮客,他們的整門生意就是把「踏進門的第一步」賣給其他集團:帳號密碼、被攻陷的伺服器、或是某位機器早已被悄悄植入後門的使用者。
- 聯盟計畫(常以「勒索軟體即服務」為名包裝),撰寫加密程式的集團抽一份成,而一群鬆散的「聯盟成員」負責實際的入侵行動。
- 談判團隊,他們輪班駐守在聊天室,從公開財報評估你公司的營收,再據此開出贖金價碼。
- 資料竊取團隊,他們唯一的工作就是在任何東西被加密之前先把檔案偷走,這樣即使你從備份還原,他們還能威脅把資料公開。
- 洗錢變現團隊,負責處理加密貨幣那一端的事。
重點很簡單:站在對面的這些人是專業的,全職在做,還有營運預算。「小心一點」這種建議,對抗一個專業產業時,根本算不上防禦計畫,只是個聳肩。
它實際上是怎麼進來的。
幾乎每一條現代勒索軟體鏈都從同一件事開始:有人打開了一個網頁。
簡單介紹這六大途徑:
釣魚郵件連結
最古老的途徑,至今仍然最有成效。一封看起來合情合理的郵件——包裹追蹤、共用文件、發票——把人帶到一個頁面,這個頁面要不是直接投放惡意酬載,就是收割之後用來入侵受害者網路的帳號密碼。
惡意廣告
合法廣告聯播網被拿來投放惡意素材。一個真正的新聞網站、一個真正的氣象網站、一個真正的食譜網站——上頭顯示的廣告會悄悄把瀏覽器重新導向到漏洞利用套件。網站經營者並非共犯,是廣告聯播網被騙了。
SEO 投毒
使用者在搜尋某個工具——PDF 轉檔工具、VPN 安裝程式、免費字型。排在第一個結果的是一個假網頁,之所以能排上去,是因為攻擊者已經在上面經營了好幾個月。下載下來的東西看起來沒問題、有簽章、也能安裝,但附帶了一個第二階段的載入器。
水坑攻擊
某個小眾網站——專業協會、專家論壇、供應商入口網站——被悄悄攻陷,每一位訪客都會被投放針對性的惡意酬載。攻擊者不需要撒大網,只要撒對一張就夠了。
ClickFix 頁面
近年的新寵。一個頁面偽裝成 CAPTCHA、錯誤訊息,或是「修一下才能繼續」的提示。它會悄悄把一段 PowerShell 或終端機指令寫進剪貼簿,並指示使用者按某組快捷鍵貼上。這段指令會在主機上執行,脫離瀏覽器的範圍,幫攻擊者做任何他想做的事。
假更新提示
「你的瀏覽器版本太舊,點這裡更新。」頁面看起來像 Chrome、Firefox 或 Safari。下載下來的是一個載入器。每一步看起來都很正常,因為每一步都是為此精心設計的。
還有一些較小但同樣值得注意的途徑:從官方商店以外安裝的惡意瀏覽器擴充套件;被汙染的供應鏈套件;以及——雖然罕見,但後果慘烈——真正的瀏覽器零時差漏洞。共通點平凡卻至關重要:一個網頁被載入了,後續所有糟糕的事,都是這一個事件的下游產物。
這條鏈,一步一步來看。
一旦初始存取成功,剩下的鏈條就變成機械化流程了。
整條攻擊鏈——從分頁載入的那一刻,到桌面上跳出勒索通知的那一刻——是一串漫長的連續動作,而它整串的成立,只取決於一件事:第 2 步能不能成功。如果第 2 步的惡意酬載碰不到使用者的檔案、鑰匙圈、排程工作、系統服務或網路共用,整條鏈就斷了。第 2 步之後的每一步,都假設攻擊者已經把手伸到了機器上。如果他們根本伸不上來,後面什麼都不會發生。
瀏覽器是那扇門。我們把它變成了一道牆。
傳統瀏覽器已經被修補、加固、沙箱化、模糊測試、壓力測試了二十年。它們同時也——而且差距相當大——是任何電腦上第二大的攻擊面,比其他任何應用程式都大,僅次於底層的作業系統本身。這不是因為工程師不夠好,而是因為瀏覽器得解析整個網際網路每一個位元組,並以某種方式產出一個安全的像素。這從一開始就是個輸定的題目。
Bromure 不打算在瀏覽器自己的賽場上贏這場比賽。它改變的是幾何結構。
在 Bromure 裡,每一個分頁都執行在一個封閉的虛擬機器內。瀏覽器、它的渲染引擎、JavaScript 引擎、PDF 解析器、影片編解碼器——所有這些都被包在一個用完即丟的客體 VM 裡,而這個 VM 完全看不到你的檔案、你的鑰匙圈、你的網路攝影機、你的照片,或你的本地網路。那個利用瀏覽器漏洞的攻擊,會落在一個裡面不包含你人生的世界裡。
當你關閉一個非持續性工作階段的視窗時,整個 VM——瀏覽器狀態、cookies、任何下載的東西、任何自行種下根基的東西、任何試圖對外連線的東西——都會被抹除。你不必知道它曾經存在過,也不必花力氣清理。
隔離是第一道牆。
一款跑在你使用者帳號下的傳統瀏覽器,和你共用檔案權限。這是架構設計,不是失誤,而整條攻擊鏈從第 2 步之後就是仰賴這一點。Bromure 從根本上打破了這個假設。瀏覽器行程不在你的使用者帳號下執行——它整個在另一台機器裡,而那台機器能看到什麼,僅限於你明確給它的東西。
下載、網路攝影機、剪貼簿、本地網路——預設全都關閉。
Bromure 裡的每一項能力,一開始都是被拒絕的。那些在傳統瀏覽器裡「順順就下載下來」的順手牽羊下載(drive-by download),在 Bromure 裡根本寫不進檔案,除非你事先聲明「這個設定檔允許儲存檔案」。網路攝影機、麥克風、剪貼簿存取、本地網路請求也一樣。多數設定檔不需要這些當中的多數,也永遠不會拿到這些當中的多數。
設定檔不是資料夾,而是各自獨立的機器。
你的銀行。你的工作信箱。你那個「什麼連結都點點看」、專門處理群組聊天連結的設定檔。在 Bromure 裡,這些每一個都是各自的 VM,有自己的儲存空間、自己的 cookies、自己的權限、自己可見的邊框顏色。就算那個「隨手點點看」的設定檔被攻陷了——在 Bromure 裡這本身就已經夠難做到——它也碰不到「銀行」那個設定檔的 cookies,因為它們根本不在同一台電腦裡。
工作階段會結束。它們所在的世界,也會跟著結束。
每一條勒索軟體鏈的第三步——持久化——是攻擊者最有價值的一步棋。排程工作、系統服務、登入項目、launch daemons:一旦他們種下根基,就會一再回來。面對一台持續存在的主機,攻擊者光靠耐心就贏了。但面對一個用完即丟的 Bromure 工作階段,他們沒有任何東西可以回頭繼續利用。攻擊者曾經活過的那個世界,已經消失了。
隔離解決不了哪些問題——又該怎麼辦。
隔離不是魔法。有兩件事它自己單獨解決不了:
針對使用者的社交工程
如果一個頁面說服使用者把一段指令複製起來,貼到一個真正的終端機視窗裡去執行,那就整個繞過了瀏覽器——指令現在跑在主機上,不在沙箱裡。ClickFix 就是這樣運作的。這需要另一層防護來處理:瀏覽器必須看到頁面寫進剪貼簿的惡意內容、把它標示出來,在使用者貼上之前提出警告。這個功能正在路上;在那之前,絕對不要執行任何網頁要你執行的指令,也要教會家裡的人這樣做。
真實的帳密交到真實的攻擊者手上
如果一個逼真的釣魚頁面讓使用者把真正的密碼打進一個真正的表單欄位,那麼再怎麼隔離都救不了——這組帳密已經透過你的鍵盤離開沙箱了。這個問題的解法是針對釣魚本身:在密碼即將被輸入到某個新網域之前就提出警告;偵測品牌冒充;攔截跨網域的密碼送出。這部分的工作正在進行中,會在即將推出的版本裡登場。
在那些防護層登場之前,光是隔離本身就已經能打掉最可靠的工業級勒索軟體攻擊鏈——那條「分頁 → 磁碟上的檔案 → 持久化 → 加密」的鏈。那正是攻擊產業拿來變現的那條鏈。那正是 Bromure 打斷的那條鏈。
攻擊產業不會放慢腳步。我們也不會。
勒索軟體不會被「更好的建議」阻止,不會因為你拜託親戚多加小心而消失,也不會因為你一廂情願地以為對面那群人總有一天會累了回家而停下。他們不會累的。他們有季度目標要達成。
真正會讓他們一台一台地停下的,是一款瀏覽器,這款瀏覽器從第一行程式碼寫下開始,就假設每一個網頁都是敵意的,並確保一個敵意的網頁做的任何事,都碰不到你在乎的任何東西。一款這樣的瀏覽器:在錯的日子、錯的心情下點了錯的連結,最糟糕的結果,不過是關掉一扇視窗。
這就是 Bromure 存在的理由。把它裝起來、設成預設瀏覽器,剩下的,就讓它變成別人的問題吧。