大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
导语:企业排查勒索入侵、清除恶意程序就万事大吉?微软DART最新重大应急案例彻底推翻传统防守思维:一家企业内网里两组完全无关的黑客团伙同步驻留,工具、路径、入侵手段完全割裂,一方的攻击行为完美掩盖另一方痕迹,传统单点告警、碎片化安全设备根本无法区分,极易出现“清完一波,另一波仍潜伏偷数据、加密核心业务”的致命漏洞。
一、事件全貌:一次入侵,两股互不相关攻击者
微软DART团队最初接到客户求助,仅判定是常规Storm-2603勒索团伙入侵,在溯源排查过程中意外挖出第二支独立威胁团伙,两套攻击链路并行在内网活动,互相掩盖行为痕迹,大幅拉长威胁潜伏周期。
1. 一号团伙:Storm-2603勒索组织(主打持久控制、全域测绘)
1. 初始入口:自2025年年中持续探测客户外网SharePoint服务器,扫描web.config、win.ini等配置文件,寻找本地文件包含漏洞作为备用入侵通道;
2. 内网驻留核心手段
滥用开源取证工具Velociraptor,以SYSTEM最高权限全域扫描服务器、终端资产。因工具属于正规DFIR安全软件,杀毒、EDR默认放行,隐蔽性极强;
搭建多重持久访问通道:Cloudflare隧道、ZoAssist远程工具、VSCode内置SSH连接,多通道保障不被一次性切断;
3. 权限提升与规避:新建本地/域管理员后门账号,利用漏洞驱动篡改内存、关闭终端防护,大幅降低告警曝光;
2. 二号匿名团伙(静默数据窃取,无勒索诉求)
该团伙无任何关联Storm-2603的TTP特征,主打DLL侧加载+自定义后门隐蔽窃取业务、账号数据,全程低调不触发大规模告警:
- 利用Windows程序加载优先级漏洞,将同名恶意DLL放置软件目录,依托可信程序进程执行恶意代码;
- 无大规模加密、爆破行为,仅静默遍历数据库、文档目录,批量导出敏感文件;
- 两组攻击者行为相互干扰,安全日志混杂,单一告警只能看到零散异常,无法拼接完整两条攻击链。
3. 双重入侵带来致命防守盲区
1. 运维清除第一波勒索工具后,默认事件处置完成,忽略第二支静默窃取团伙;
2. 两类恶意进程、外联行为交织,碎片化防火墙/杀毒无法做跨域关联分析;
3. 潜伏周期成倍拉长,数据泄露、核心系统后门长期存在而无人察觉。
二、两大团伙完整攻击链路拆解
链路1:Storm-2603勒索团伙全流程
1. 侦察探测:持续爆破公网SharePoint,批量读取站点配置文件挖掘漏洞;
2. 突破边界:利用公开漏洞打入内网服务器;
3. 合法工具伪装:落地Velociraptor全域测绘,摸清域控、财务、研发服务器分布;
4. 多通道持久化:搭建隧道、远程协助、SSH三重后门;
5. 权限膨胀:新建管理员账号,利用漏洞驱动关闭终端防护;
6. 伺机投放勒索载荷,加密业务服务器索要赎金。
链路2:匿名数据窃取团伙(无大规模破坏)
1. 借同一外网漏洞同步进入内网,与勒索团伙互不干扰;
2. DLL侧加载无文件隐蔽执行,依托可信软件进程规避查杀;
3. 静默横向移动,遍历共享盘、数据库、员工文档;
4. 分片打包机密文件,通过隐蔽外联通道外传;
5. 无加密、无爆破,行为特征微弱,极易被海量勒索告警覆盖。
核心难点:传统防御完全失效的3个原因
1. 信任工具被滥用:Velociraptor、Zoho Assist等正规运维/取证软件不在恶意特征库内,单点终端只能放行;
2. 日志割裂:防火墙、EDR、云平台日志互不打通,只能看到孤立异常,无法区分两套攻击者行为;
3. 告警优先级失衡:勒索加密、批量爆破等高危告警淹没DLL侧载、低频文件读取等低噪音窃取行为。
三、该事件暴露企业通用安全短板
1. 外网业务(SharePoint、Web服务)漏洞修复滞后,持续开放攻击入口;
2. 终端管控缺失,未限制外部远程工具、未知取证软件落地运行;
3. 安全设备碎片化,无统一关联分析平台,无法做多条攻击链溯源;
4. 仅关注勒索、挖矿等高可见威胁,忽视低频静默数据窃取类攻击;
5. 事件响应流程存在重大缺陷:清除一类恶意程序即结案,缺少全域深度狩猎。
四、分层落地防御方案(政企/互联网通用)
(一)边界与资产基础加固
1. 全网互联网暴露资产定期漏洞扫描,重点修复SharePoint、Web服务等高风险组件,杜绝长期可利用入口;
2. 收敛外网访问权限,关闭不必要远程管理端口、文件读取接口,限制配置文件对外访问;
3. 建立外部工具准入白名单,禁止员工、服务器私自部署Velociraptor、第三方远程协助软件。
(二)终端EDR深度管控(核心防线)
1. 开启进程行为检测,拦截陌生程序目录DLL侧加载、驱动篡改内存等高危行为;
2. 监控未授权远程隧道、第三方远程工具外联,异常会话实时阻断;
3. 限制SYSTEM级陌生进程自动运行,对取证、运维类工具做人工审批管控;
4. 常态化扫描未知管理员账号、定时任务、持久化后门。
(三)统一日志与关联分析(解决双团伙识别痛点)
1. 打通终端、网络、云、域控全量日志,搭建统一SOC态势平台;
2. 配置多线索关联规则:同一资产同时出现勒索工具+DLL恶意程序自动高危告警;
3. 区分“高破坏攻击”与“静默窃取攻击”两类基线,不忽视低频率文件读取行为。
(四)优化事件响应处置流程
1. 建立全域威胁狩猎机制,清除单一恶意程序后必须开展全内网深度排查;
2. 事件复盘增加多攻击者识别校验项,排查是否存在多条独立攻击链路;
3. 定期红蓝对抗,模拟多团伙并行入侵场景检验防御能力。
五、行业警示:网络攻防进入“多攻击者混战”时代
过去安全团队默认一次入侵仅存在单一黑客团伙,如今漏洞资产如同“公共跳板”,勒索、窃密、挖矿多类攻击者会先后或同步入侵同一企业,彼此掩盖痕迹。
仅靠单点防火墙、杀毒软件只能处理表面攻击,碎片化防御会直接漏掉潜伏的第二、第三支威胁。
企业安全建设必须转向全域可视、跨设备联动、行为基线分析,才能在复杂多威胁场景下完整清除所有入侵链路,避免数据长期泄露、业务随时被加密。
加入知识星球,可获取权益
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。



二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

