文章总结： 文章分析AmnesiaRAT攻击，黑客利用GitHub、Dropbox和Telegram分发载荷并通讯，通过LNK诱导及defendnot工具禁用Defender。建议开启防篡改保护、警惕LNK附件并审计异常流量以防御此类滥用合法服务的攻击。 综合评分： 88 文章分类： 恶意软件,威胁情报,应急响应,安全意识

GitHub 存脚本，Dropbox 存病毒，Telegram 传数据：这届黑客是懂“云原生”的

原创

Hankzheng Hankzheng

技术修道场

2026年1月28日 07:50 广东

大家好，做技术的兄弟们都知道，“云原生”、“微服务”、“DevOps”这些词这两年有多火。但你敢信吗？黑客们现在的攻击架构，比很多公司的业务系统还要“先进”。

最近 FortiGuard Labs 曝光了一个针对俄罗斯用户的攻击链，代号涉及 Amnesia RAT。看完这个报告，我不得不直呼内行。

这帮人，前哨用 GitHub 做掩护，粮草放在 Dropbox，通讯走 Telegram，甚至为了搞定微软自带的 Defender，他们还玩了一手“反客为主”的骚操作。

没有 0-Day 漏洞，全靠滥用原生服务（Living off the Land）。 今天，咱们就以前端技术人的视角，扒一扒这个“高智商”恶意软件的技术细节。

01 入口：披着羊皮的 LNK

攻击的起点，依然是经典的社会工程学。受害者收到一个压缩包，里面躺着一个名为“会计部任务_02科室”的文件。

这里有个老鸟也容易翻车的细节：双重扩展名欺骗。

文件名实际是：Задание...txt.lnk 由于 Windows 默认隐藏已知扩展名，用户以为是记事本，其实双击运行的是一个 LNK 快捷方式。

技术拆解： 这个 LNK 并没有直接包含二进制代码，而是执行了一条 PowerShell 命令。这条命令直接指向一个 GitHub 仓库。

为什么要用 GitHub？ 这就叫“灯下黑”。在绝大多数企业的防火墙策略里，github.com 都是绝对的白名单。这种利用高信誉域名分发 Payload 的手法，能轻松绕过第一道流量检测网关。

02 潜伏：这该死的“松弛感”

脚本落地后，并没有急着加密文件，而是先演了一出戏：

• 隐藏黑框框：

  编程方式隐藏 PowerShell 控制台，用户完全无感。

• 制造假象：

  自动在本地生成并打开一个真的诱饵文档，让你以为文件正常打开了。

• 老板我进来了：

  利用 Telegram Bot API 给攻击者发消息：“第一阶段搞定。”

随后，脚本进入了一个长达 444秒（约7分半钟） 的强制休眠。

💡 点评： 这就是典型的反沙箱（Anti-Sandbox）策略。很多自动化恶意软件分析沙箱为了节省资源，通过只运行样本3-5分钟。如果这段时间内没动静，就判定为安全。这招“拖字诀”，简单粗暴但极其有效。

03 杀招：用魔法打败魔法

这是整个攻击链里最让我惊艳的部分。

大家都知道 Windows Defender 现在已经很强了，硬碰硬通常没好下场。于是，这帮黑客引入了一个开源工具：defendnot。

它的原理利用了 Windows 安全中心的一个“贴心”设计：当系统检测到安装了第三方杀毒软件时，为了避免冲突，Defender 会自动禁用自己。

操作逻辑如下：

1. 部署 defendnot 工具。
2. 在系统中注册一个“假的”杀毒软件信息。
3. Windows 安全中心一看：“哟，您装了新杀软啊？那我就歇着了。”
4. 结果：Defender 真的把自己关了！自废武功！

配合脚本里的排他设置（Exclusions）和注册表篡改，受害主机的防线瞬间崩塌。

04 架构：多云服务分发

防线一破，剩下的就是长驱直入。为了提高生存能力，黑客采用了分离式架构：

• 脚本层：

  托管在 GitHub。

• 重型武器（Binary）：

  托管在 Dropbox。

• C2 通讯/数据回传：

  走 Telegram API。

这种设计让执法机构非常头疼——你封了这个，那个还在；而且全是合法的大厂域名，封IP是不可能封的。

最终落地两个核心 Payload：

1. Amnesia RAT： 偷浏览器数据、Discord/Steam 账号，还能实时录屏、录音。

2. 勒索病毒： 加密文档、源码。最鸡贼的是它会监控剪贴板，如果你复制了一个加密货币地址，它会悄悄替换成黑客的钱包地址。你以为在转账，其实是在送钱。

防御总结

看完这个案例，最大的感触是：现在的黑客越来越像“系统管理员”了。

他们不一定要挖掘高深的内核漏洞，只需要熟练掌握 PowerShell、VBScript，利用 GitHub、Telegram 这些顺手的工具，就能把企业内网捅个对穿。

🛡️ 给技术兄弟们的几条建议：

• 开启 Tamper Protection（防篡改保护）：

  微软早已推出此功能，开启后即便是管理员权限，也无法通过 API 简单关闭 Defender。

• 全员培训 LNK 风险：

  一定要反复强调，邮件里的附件如果是 .lnk 结尾，或者图标是文本但后缀不对劲的，千万别点！

• 流量审计：

  生产环境的服务器如果频繁连接 api.telegram.org，别犹豫，直接拔网线查杀。

技术攻防，永无止境。

觉得有帮助？点个“推荐”再走呗 👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《GitHub 存脚本，Dropbox 存病毒，Telegram 传数据：这届黑客是懂“云原生”的》