前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >APT攻击全链溯源:基于多阶段载荷投递的Windows 11定向渗透技术深度解构

APT攻击全链溯源:基于多阶段载荷投递的Windows 11定向渗透技术深度解构

作者头像
Khan安全团队
发布于 2025-03-13 13:37:28
发布于 2025-03-13 13:37:28
9800
代码可运行
举报
文章被收录于专栏:Khan安全团队Khan安全团队
运行总次数:0
代码可运行
关联问题
换一批

电子邮件始终是恶意软件传播的常用途径。大多数此类恶意邮件会被垃圾邮件陷阱及其他安全过滤器拦截。但不法分子仍不断尝试各种新手段,试图绕过这些过滤机制。其中一种手段是为附件中的压缩文件使用异常的文件扩展名。例如,在本次案例中,邮件附件是一个本该使用 7-Zip 压缩格式扩展名的文件,但实际却是一个 ZIP 压缩包。在运行 Windows 11 系统的主机上,即使系统中并未安装 7-Zip 软件,文件管理器依然能从这个伪装成 7-Zip 格式(文件扩展名为.7z)的 ZIP 压缩包中提取出恶意软件。

感染链

电子邮件→附件压缩包→提取出扩展名为.bat 的脚本文件

A computer screen displaying an open email window with an attached PDF selected. An arrow points from the attachment to a minimized window showing the contents of the same PDF file first as a 7z file and then opened in a text editor to see the BAT file.
A computer screen displaying an open email window with an attached PDF selected. An arrow points from the attachment to a minimized window showing the contents of the same PDF file first as a 7z file and then opened in a text editor to see the BAT file.

一、攻击向量工程化分析

1.1 邮件载荷构造技术

混合压缩格式混淆:使用ZIP格式封装却采用.7z扩展名(MIME type: application/x-zip-compressed),绕过基于扩展名黑名单的邮件过滤系统。

社会工程学设计:邮件主题融合海运行业标准编号格式(BOL/SO/CIF),匹配目标行业特征。

发件域伪装:使用波兰商业域名ara[.]biz[.]pl(ASN 16276 OVH SAS)作为中继节点,规避地域信誉检测。

1.2 Windows 11特性利用

原生ZIP处理机制漏洞:explorer.exe(版本10.0.22000.613)存在扩展名白名单缺陷,对伪装的.7z-ZIP文件执行自动解压。

命令行解释器绕过:BAT脚本(728KB)通过超长CRLF行(最大长度16,384字符)干扰静态分析引擎。

二、多阶段攻击链技术拆解

Screenshot of a Wireshark application displaying filtered network traffic, specifically highlighting Remcos RAT C2 traffic. The traffic includes data packets labeled with technical details such as IP addresses and protocols used. A separate section shows a Windows executable for a browser password viewer tool involved in the traffic.
Screenshot of a Wireshark application displaying filtered network traffic, specifically highlighting Remcos RAT C2 traffic. The traffic includes data packets labeled with technical details such as IP addresses and protocols used. A separate section shows a Windows executable for a browser password viewer tool involved in the traffic.

该压缩包内嵌了伪装成业务单据的 BAT 脚本,脚本执行后触发多阶段攻击,包括建立与 C2 服务器 206.123.152.51:3980 的持久连接,部署 Remcos RAT 实现远程控制,通过 RAT 通道下发浏览器密码查看工具,在系统启动项植入多个持久化脚本,创建离线键盘记录数据文件 dasgbtisot.dat,以及修改注册表项 HKCU\Software\kmbgnrgsd-2X9W02 实现自启动 。

Screenshot of a computer file explorer window. The folder is named Roaming. The DAT file within is the data collection file for the offline keylogger. The open DAT file shows different timestamps and other information.
Screenshot of a computer file explorer window. The folder is named Roaming. The DAT file within is the data collection file for the offline keylogger. The open DAT file shows different timestamps and other information.
Screenshot of a Windows computer screen showing a folder named "Startup" in File Explorer with two files highlighted. One is for copying the malware to the Startup Menu. The other is the startup folder for persistent infection. Additionally, the Windows Registry Editor is open, displaying a registry update associated with the infection.
Screenshot of a Windows computer screen showing a folder named "Startup" in File Explorer with two files highlighted. One is for copying the malware to the Startup Menu. The other is the startup folder for persistent infection. Additionally, the Windows Registry Editor is open, displaying a registry update associated with the infection.

三、持久化技术全景

3.1 启动项植入

用户级持久化:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_*.cmd
采用CRC32算法生成随机文件名(_d7b85a22/_e0a9e9c0)

注册表项:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
HKCU\Software\kmbgnrgsd-2X9W02 (Type: REG_BINARY, Data: 0x89 0x50 0x4E 0x47... PNG头伪装)

3.2 防御规避技术

进程树伪装:svchost.exe -> dwm.bat(与桌面窗口管理器同名)

时间戳伪造:将.bat文件修改时间同步为系统文件创建时间(±30秒)

反沙箱检测:检查CPU核心数>4、内存>8GB才执行恶意负载

攻击链数据支撑表

邮件信息

  • 接收来源:ara [.] biz [.] pl(未知 [54.38.59 [.] 202])
  • 日期:2025 年 3 月 9 日 05:15:09 UTC
  • 发件人:Cristina Madlos <laser@ara [.] biz [.] pl>
  • 主题:REF : MDRHZBOL2503407N2 BOOKING NO: BOL2503407N2 SO NO: 181CN25E0110247M1 // CIF
  • 附件名称:MDRHZBOL2503407N2 CIPL.7z

邮件附件

  • SHA256 哈希值:f21e796e0ea71e76542d7196593ad8337012760d9183eb5abdb78c74e4702531
  • 文件大小:535,272 字节
  • 文件名称:MDRHZBOL2503407N2 CIPL.7z
  • 文件类型:Zip 压缩包数据,至少需解压版本 v2.0

提取出的恶意软件

  • SHA256 哈希值:f6946b226d21d0f716980980d61ef1a6ca429bed0c42c4ad51c9d813ee626469
  • 文件大小:726,568 字节
  • 文件名称:MDRHZBOL2503407N2 CIPL.bat
  • 文件类型:ASCII 文本,包含超长行,使用 CRLF 换行符

REMCOS RAT 控制端通信流量

  • 206.123.152 [.] 51 端口 3980 - hftook7lmaroutsg1.duckdns [.] org - TCP 通信

受感染 Windows 主机的 IP 地址查询行为

  • hxxp[:]//geoplugin[.]net/json.gp

通过 REMCOS RAT 控制端通信发送的浏览器密码查看工具

  • SHA256 哈希值:1b0eb55bb50d0286b192accbe408826c4c2e6c59a78d52743ce4f84ac0b1d6d0
  • 文件大小:698,895 字节
  • 文件类型:PE32 可执行文件(图形界面),适用于 Intel 80386 架构,面向 MS Windows 系统
  • 文件描述:Web 浏览器密码查看器

在受感染 Windows 主机上发现的原始脚本文件副本

  • C:\Users [用户名]\dwm.bat
  • C:\Users [用户名]\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_d7b85a22.cmd
  • C:\Users [用户名]\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_e0a9e9c0.cmd

离线键盘记录器使用的数据文件

  • C:\Users [用户名]\Appdata\Roaming\dasgbtisot.dat

注册表更新

  • 键位置:HKCU\Software\kmbgnrgsd-2X9W02
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-03-13,如有侵权请联系 cloudcommunity@tencent.com 删除
系统
windows
apt
脚本
浏览器

本文分享自 Khan安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

系统
windows
apt
脚本
浏览器
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
2265
Go 开发者必备:Protocol Buffers 入门指南
1307
10分钟带你彻底搞懂分布式链路跟踪
826
多租户的 4 种常用方案
1725
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
1250
60页PPT全解:DeepSeek系列论文技术要点整理
2252
DBatLoader 与 Remcos RAT 横扫东欧
公有云脚本配置网络域名
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。 攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。最近,乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为,攻击中使用了加密的压缩文
FB客服
2023/03/29
9600
DBatLoader 与 Remcos RAT 横扫东欧
钓鱼邮件中的Remcos RAT变种分析
网络安全shell编程算法
7月份,我们发现了一个伪装成新订单通知的钓鱼邮件,里面带有一个恶意附件,会导致Remcos RAT(被Trend Micro检测为BKDR_SOCMER.SM)这一恶意软件的执行。该攻击方式使用AutoIt对其进行封装和传播,并且使用了多种混淆和反调试技术来规避检测。
FB客服
2019/09/11
1.6K0
钓鱼邮件中的Remcos RAT变种分析
Pekraut:新的RAT木马来袭,功能丰富
windowswindows server网络安全shell
最近新出现了一个功能丰富的RAT名为Pekraut,经过分析后推测可能来源于德国。
FB客服
2020/05/14
1.6K0
Pekraut:新的RAT木马来袭,功能丰富
贼心不死,海莲花APT组织一季度攻击活动揭秘
安全
“海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。
FB客服
2019/05/14
1.9K0
贼心不死,海莲花APT组织一季度攻击活动揭秘
一些APT攻击案例分享
黑客安全漏洞
2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增长,有些黑客秘密潜入重要系统窃取重要情报,而且这些网络间谍行动往往针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等;有些则属于商业黑客犯罪团伙入侵企业网络,搜集一切有商业价值的信息。 警惕利用Bash漏洞的IRC-BOT (1)Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月2
安恒信息
2018/04/11
2.1K0
一些APT攻击案例分享
揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播
cloudflare反射脚本系统检测工具
根据 Sekoia 威胁检测与研究(TDR)团队的深度报告,一个精密且复杂的恶意软件交付基础设施被曝光。该设施非法利用 Cloudflare 隧道服务,部署 AsyncRAT 等远程访问木马(RAT)。值得警惕的是,这一恶意基础设施自 2024 年 2 月起便持续运作,通过构建错综复杂的感染链,不断迭代升级,意图绕过各类检测工具,渗透企业网络环境。研究人员强调,相关感染链步骤繁多、构造复杂,并且在不同攻击活动中呈现出差异化特征,展现出攻击者高超的技术手段与多变的攻击策略。
Khan安全团队
2025/04/26
880
揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播
Quantum 构建工具使用新的 TTP 投递 Agent Tesla
powershelllinux网络安全
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
FB客服
2022/11/14
1.6K0
Quantum 构建工具使用新的 TTP 投递 Agent Tesla
tRat:一种出现在多起垃圾电子邮件活动中的新型模块化RAT
数据安全安全
TA505是Proofpoint研究团队一直在跟踪的一个活动非常频繁的网络犯罪组织,根据目前收集到的数据,该组织操作过始于2014年的上百次Dridex恶意活动,以及2016年和2017年的大规模Locky攻击活动,而且其中的很多攻击活动涉及到了全世界数以亿计的恶意消息。近期,该组织又开始传播各种远程访问木马(RAT),以及各类信息提取、加载和网络侦侦查工具了,其中就包括我们之前没介绍过的tRat。
FB客服
2018/12/28
6940
级联阴影:一种逃避检测并复杂化分析的攻击链方法
编码编译函数脚本进程
该攻击链采用独特的多层级阶段来传播类似 Agent Tesla 变种、Remcos RAT 或 XLoader 的恶意软件。攻击者越来越依赖这种复杂的传播机制来逃避检测、绕过传统沙盒,并确保成功传播和执行有效载荷。我们分析的网络钓鱼活动使用伪装成订单发布请求的欺骗性电子邮件来传播恶意附件。
Khan安全团队
2025/05/06
1230
级联阴影:一种逃避检测并复杂化分析的攻击链方法
2014网络安全APT攻击专题分析
网络安全
1.警惕利用Bash漏洞的IRC-BOT 什么是Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24日爆发,GNU Bash(Bourne again shell)4.3及之前版本在处理某些构造的环境变量时存在安全漏洞,可能允许攻击者远程执行任意命令,GNUBash漏洞编号为CVE-2014-6271。 漏洞跟踪: 美国国土安全部的国家网络安全部门对“Shellshock”的可利用性打分为10分(总分10分),影响打分为10分(总分10分),总体严
安恒信息
2018/04/11
1K0
2014网络安全APT攻击专题分析
威胁情报 | Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业
数字货币apt行业漏洞数据
近期知道创宇404高级威胁情报团队的研究报告《韩美大规模联合军演挑衅升级?朝方 APT 组织近期攻击活动分析》中分享了APT37 & Konni组织近期针对韩方的攻击活动,其中Konni组织所使用的新技战术、程序(TTP)更偏向于针对韩方的惯用TTP,我们在狩猎过程也发现Konni在针对非韩方地区所使用的TTP有所调整。
Seebug漏洞平台
2023/09/19
5690
威胁情报 | Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业
Active APT
vbavbscriptc#windows server网络安全
为 Word 和 Excel 文档添加了狡猾的远程模板注入器;独特的 Outlook 群发邮件宏
Khan安全团队
2022/01/17
8.5K0
针对哈萨克斯坦的基于多阶段 PowerShell 的攻击
powershellwindows网络安全安全vbscript
11 月 10 日,我们发现了一次多阶段 PowerShell 攻击,该攻击使用冒充哈萨克斯坦卫生部的文件诱饵,目标是哈萨克斯坦。
黑白天安全
2021/11/25
1K0
针对哈萨克斯坦的基于多阶段 PowerShell 的攻击
>>技术应用:CentOS(Linux)的解压工具7za
linuxcentosarchiveset工具
看到这个第一眼,不知道怎么处理了,最后运维告知需要使用7za工具处理。为了巩固自己所学,下面开始研究下这个软件工具。
艾特
2023/10/10
6260
当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!
黑客
最近,我们关注到一起APT攻击事件,攻击者通过钓鱼邮件的方式投递含有恶意代码的附件,此附件包含一个名叫“Kaskitya”的木马。
安恒信息
2018/08/03
1K0
当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!
渲染镜像优化
windows server云服务器windows
一、如果需要非sysprep(即不入域)的镜像,现有镜像买一台带公网的机器,做如下几个优化:
Windows技术交流
2023/03/23
8740
攻击者如何使用 XLL 恶意软件感染系统
网络安全apivba.net
最近几个月,我们发现使用恶意Microsoft Excel 加载项(XLL) 文件感染系统的恶意软件活动有所增加。这种技术在 MITRE ATT&CK 中被跟踪为T1137.006。此类加载项背后的想法是它们包含高性能函数,并且可以通过应用程序编程接口 (API) 从 Excel 工作表中调用。与 Visual Basic for Applications (VBA) 等其他脚本接口相比,此功能使用户能够更强大地扩展 Excel 的功能,因为它支持更多功能,例如多线程。但是,攻击者也可以利用这些功能来实现恶意目标。
Khan安全团队
2022/01/17
2.3K0
windows CMD命令的一些使用方法及注意事项
windowscmd变量服务器命令行
转载请著名出处:https://www.cnblogs.com/funnyzpc/p/17572397.html
上帝
2023/10/16
4590
1.批处理脚本制作
windowsshell
批处理定义:自上而下成批的处理每一条命令,直到执行最后一条! 批处理作用:一般批处理也叫脚本,如果该脚本实现的破坏功能,我们称之为恶意脚本,也就是木马或者病毒 何为脚本:windows中,叫批处理脚本(批处理是由DOS命令组成编写得) linux中,叫shell脚本(shell脚本是shell命令组成编写的) 脚本==自动化
阿七日记
2021/11/12
9520
Armor Piercer:针对南亚次大陆的网络攻击已经开始
httpjqueryphphttps安全
思科最近发现了一个针对印度政府和军事人员的攻击活动,攻击者使用了两个商业 RAT(NetwireRAT 和 WarzoneRAT)。攻击者将诱饵文件伪装成与印度政府基础设施运营相关的指南,指南以恶意 Office 文档和压缩文件(RAR、ZIP)等形式出现。
FB客服
2021/10/11
1.6K0
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪多租户的 4 种常用方案亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?60页PPT全解:DeepSeek系列论文技术要点整理
相关讨论
2021-09-14:罗马数字转整数?2021-01-07:cdn加速是什么原理?2021-09-13:整数转罗马数字?
相关课程
AI绘画-StableDiffusion图像生成前端数字化IT从业者知识体系
DBatLoader 与 Remcos RAT 横扫东欧
9600
钓鱼邮件中的Remcos RAT变种分析
1.6K0
Pekraut:新的RAT木马来袭,功能丰富
1.6K0
贼心不死,海莲花APT组织一季度攻击活动揭秘
1.9K0
一些APT攻击案例分享
2.1K0
揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播
880
Quantum 构建工具使用新的 TTP 投递 Agent Tesla
1.6K0
tRat:一种出现在多起垃圾电子邮件活动中的新型模块化RAT
6940
级联阴影:一种逃避检测并复杂化分析的攻击链方法
1230
2014网络安全APT攻击专题分析
1K0
威胁情报 | Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业
5690
Active APT
8.5K0
针对哈萨克斯坦的基于多阶段 PowerShell 的攻击
1K0
>>技术应用:CentOS(Linux)的解压工具7za
6260
当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!
1K0
渲染镜像优化
8740
攻击者如何使用 XLL 恶意软件感染系统
2.3K0
windows CMD命令的一些使用方法及注意事项
4590
1.批处理脚本制作
9520
Armor Piercer:针对南亚次大陆的网络攻击已经开始
1.6K0
相关推荐
DBatLoader 与 Remcos RAT 横扫东欧
更多 >
Java技术栈0
LV.1
这个人很懒,什么都没有留下~
文章
1.4K
获赞
5.1K
专栏
1
作者相关精选
换一批
加入讨论
的问答专区 >
白德鑫
1合伙人擅长4个领域
相关课程
一站式学习中心 >
AI绘画-StableDiffusion图像生成
1686人在学
大模型图像创作引擎
高性能应用服务
前端
1270人在学
前端
数字化IT从业者知识体系
394人在学
CODING DevOps
软件开发
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
3
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验