文章总结： 本文分析了三起利用IISWeb漏洞的攻击，揭示攻击者通过试错适应防御而非精准执行剧本。攻击者使用Golang木马agent.exe，并在被Defender拦截后利用PowerShell添加排除项，展现了真实攻击中的混乱与调整过程。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,应急响应

Windows事件日志揭示“复杂”网络攻击背后混乱的真相

原创

铸盾安全

河南等级保护测评

2025年12月31日 00:01 河南

公开的网络攻击报告往往呈现出一幅完美的画面——攻击者有条不紊地按照精心策划的剧本行事，每一步都执行得完美无瑕。

这种看法让许多人相信，现代攻击者像机器一样精准地行动，能够无缝地从一个目标转移到另一个目标，而不会遇到任何障碍。

然而，这种说法掩盖了一个截然不同的现实，而当检查被入侵系统中遗留的实际证据时，这种现实就变得清晰起来。

仔细查看 Windows 事件日志和端点检测与响应 (EDR) 遥测数据，会发现一些更人性化的东西：威胁行为者会挣扎、尝试、犯错，并在计划失败时进行调整。

Whoami.exe 进程血缘关系（来源 – Huntress）

2025年11月至12月期间，安全研究人员发现的三起独立网络攻击事件，恰恰证明了试错法是如何塑造现实世界中的恶意软件攻击活动的。

这些事件有一个共同的主题——攻击者利用 Web 应用程序漏洞获取初始访问权限，然后尝试部署定制恶意软件，同时不断调整策略以应对防御系统。

这些事件涉及一家住宅开发公司、一家制造公司和一家企业共享服务机构。

在所有三个目标中，攻击者都利用了运行在 Microsoft Internet Information Server (IIS) 上的 Web 应用程序的漏洞来远程执行命令。

Huntress 分析师发现，这些攻击的核心是一个名为 agent.exe 的 Golang 木马，但攻击者还部署了 SparkRAT 等变种和其他工具，以实现对目标系统的持久性。

这些攻击之所以特别引人注目，不是因为它们的复杂程度，而是因为它们体现了学习和失败的迹象。

Windows Defender检测到“ShellcodeRunner”（来源：Huntress）

在第一起事件中，攻击者在使用Windows Defender下载恶意软件时立即被检测到——因此在随后的攻击中，他们修改了策略，在部署有效载荷之前预先添加Windows Defender排除项。

这种模式表明，威胁行为者会根据遇到的障碍做出反应，而不是执行完美的计划。

攻击者多次尝试使用Windows服务建立持久性，但由于配置错误和系统限制，这些尝试经常失败。

尽管遭遇了这些挫折，但威胁行为者仍然坚持不懈，多次使用不同的工具和方法返回到被入侵的终端，每一次尝试都表明他们对防御屏障感到沮丧。

感染机制

Huntress分析师发现，这三起事件都是由相同的基本漏洞模式引起的——受感染的IIS Web服务器进程执行攻击者控制的命令。

攻击者没有使用传统的Web Shell；相反，他们直接利用Web应用程序页面中的代码缺陷来实现远程命令执行。

在第一起事件中，服务器日志显示向登录页面发出 POST 请求，返回成功状态码 (200)，随后立即通过Web服务器进程执行whoami.exe 命令。

流程树（来源 – Huntress）

这表明攻击者发现了一个漏洞，允许其在无需上传 Web shell 的情况下执行任意命令。随后，攻击者发出了标准的枚举命令：netstat命令、用户账户检查命令和网络配置查询命令。

当尝试使用 certutil.exe（一种常见的“借用本地资源”二进制文件技术）下载恶意软件时，Windows Defender阻止了该命令。

威胁行为者并没有放弃这种做法，而是通过未知机制传输了一个名为815.exe的文件，并尝试执行了三次才最终成功，但随后该可执行文件被识别为用 Golang 编写的木马程序，最终导致该威胁行为者被隔离。

在随后的事件中，攻击者吸取了失败的教训。他们在部署恶意软件之前，使用PowerShell 命令将常见的恶意软件文件扩展名添加到排除列表中 powershell -command Add-MpPreference -ExclusionPath C -ExclusionExtension .exe, .bin, .dll -Force：

这种适应至关重要，因为它表明威胁行为者会根据之前的挫折来改变自身行为，即使他们继续重复使用在早期尝试中失败的相同有缺陷的持久化机制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《Windows事件日志揭示“复杂”网络攻击背后混乱的真相》