游乐游手机版
首页/科技数码/文章详情

Windows事件日志解密:精密网络攻击背后的混乱真相

时间:2026-01-02 09:01
深入分析Windows事件日志和终端检测与响应(EDR)遥测数据后,研究人员发现攻击者更具 "人性化 "的一面:他们会遭遇困境、反复试验、犯下错误,并在计划受挫时不断调整策略。 公开报道的网络攻击往往呈

深入剖析Windows事件日志与终端检测与响应(EDR)遥测数据之后,研究人员发现攻击者更为“人性化”的一面:他们同样会遭遇困境、反复试错、犯下失误,并在计划受挫时不断调整策略。

公开报道的网络攻击往往呈现精心修饰的画面——攻击者按部就班地执行周密计划,每个动作都完美无缺。这种描述让许多人误以为现代攻击者能像机器般精准运作,毫无障碍地实现各个目标。然而,当检视受感染系统留下的实际证据时,展现的却是截然不同的现实。

攻击者的人性面:试错与调整

对Windows事件日志和EDR遥测数据的深度分析揭示,攻击者并非冷酷的完美执行者,他们同样会陷入困境、进行反复尝试、出现操作失误,并在遭遇阻碍时灵活改变策略。

\

2025年11月至12月期间,安全研究人员发现的三起独立网络攻击事件,生动展现了恶意软件在现实世界中的试错过程。这些事件的共同点是:攻击者先利用Web应用漏洞获取初始访问权限,随后尝试部署定制恶意软件,同时根据防御系统的反应不断调整战术。

攻击案例分析

受害机构包括一家住宅开发公司、一家制造企业和某企业共享服务组织。在三起案例中,攻击者均利用微软IIS(Internet Information Server)运行的Web应用漏洞远程执行命令。Huntress分析师发现这些攻击的核心是一个名为agent.exe的Go语言木马,但攻击者也部署了SparkRAT等变种工具以维持对目标系统的控制。

这些攻击最引人注目的并非其精密性,而是攻击者学习与失败的过程证据。在第一起事件中,攻击者试图通过Windows Defender下载恶意软件时立即被检测到——于是在后续攻击中,他们调整策略,在部署有效载荷前预先添加Windows Defender排除项。这种模式表明威胁行为是在应对障碍,而非执行完美计划。

\

攻击者多次尝试通过Windows服务建立持久性访问,却因配置错误和系统限制屡遭失败。尽管如此,他们仍坚持不懈,使用不同工具和方法多次返回受感染的终端设备,每次尝试都暴露出其对防御屏障的挫败感。

感染机制剖析

Huntress分析师发现三起事件始于相同的漏洞利用模式——受感染的IIS Web服务器进程执行攻击者控制的命令。威胁行为体并未使用传统的Web Shell,而是直接利用Web应用页面中的编码缺陷实现远程命令执行。

\

第一起事件的服务日志显示,攻击者向登录页面发送POST请求并获得成功状态码(200)后,立即通过Web服务器进程执行whoami.exe命令。这表明攻击者发现了无需上传Web Shell即可执行任意命令的漏洞。随后攻击者发出标准枚举命令:netstat、用户账户检查和网络配置查询。

当攻击者尝试使用certutil.exe(一种常见的“无文件攻击”技术)下载恶意软件时,Windows Defender拦截了该命令。攻击者并未放弃,而是通过未知机制传输名为815.exe的文件,三次尝试执行后终于成功,但该可执行文件随后被识别为Go语言编写的木马而遭隔离。

在后续事件中,攻击者吸取了教训。他们在部署恶意软件前先通过PowerShell命令添加常见恶意软件扩展名排除项:powershell -command Add-MpPreference -ExclusionPath C -ExclusionExtension .exe, .bin, .dll -Force。这种调整具有关键意义,表明威胁行为体会根据先前挫折修改行为,尽管他们仍在重复使用早期尝试中已被证明有缺陷的持久性机制。

来源:https://www.51cto.com/article/833273.html
上一篇广汽丰田铂智7:20万级纯电SUV,大空间与智能科技之选 下一篇尼克尔Z100-400mm值16699元吗?高光学素质实测分析
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5