2026-01-30 17:56:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： AnyDesk凭借易用性成为APT维持持久访问的首选工具，常用于勒索软件攻击前潜伏。攻击者通过安装无人值守版本或劫持合法配置隐秘操作。文档重点阐述调查方法：分析特定路径下的ad.trace及connection_trace.txt日志，利用PowerShell筛选关键字提取攻击者IP、操作系统及身份信息。建议将日志接入SIEM监控非工作时间异常连接，并关联文件传输记录检测数据泄露。 综合评分： 90 文章分类： 应急响应,威胁情报,安全运营

cover_image

AnyDesk – APT 最喜爱的工具

TtTeam

2026年1月30日 08:58 海南

以下文章来源于威胁情报Z分析，作者Z

威胁情报Z分析 .

国际网络安全威胁情报，地缘政治事件分析。

AnyDesk 大约在 2014 年首次面世，并迅速成为全球最受欢迎的合法远程支持和系统管理工具之一。它轻巧、快速、易于部署。然而，正是这些优点也使其对网络犯罪分子和高级持续性威胁组织极具吸引力。在过去的几年里，AnyDesk 已成为攻击者用来维持对受感染系统的持续访问的首选工具之一。

攻击者会以多种方式滥用 AnyDesk。有时，他们会直接安装 AnyDesk 并配置密码以实现无人值守访问。有时，他们会利用许多组织已经合法安装了 AnyDesk 的事实。攻击者只需获得终端访问权限，更改 AnyDesk 密码或配置新的访问配置文件，即可获得静默且持久的访问权限。由于管理员普遍使用远程访问工具，这种持久性访问往往会持续数天、数周甚至数月而不被察觉。在此期间，攻击者可以随意出入。许多组织即使部署了成熟的安全监控系统，也不会密切监控此类活动。我们见过一些拥有庞大基础设施和集中式日志记录的公司完全忽略了 AnyDesk 连接。这使得攻击者能够在地理位置分散的网络中保持立足点，直到他们准备好发起勒索软件攻击。一旦加密最终影响到关键资产，并且加密强度很高，除非您拥有密钥，否则损害通常是永久性的。

我们还发现攻击者会修改注册表设置，使 Windows 登录屏幕上的辅助功能按钮打开一个具有最高权限的命令提示符窗口。这样，他们就可以触发与其 AnyDesk 会话关联的特权 shell，同时最大限度地减少本地事件日志中正常登录活动的痕迹。我们之前在“PowerShell 黑客基础”一文中演示过类似的注册表劫持概念。如果您想了解这种滥用行为的普遍程度，可以查看近期涉及俄罗斯的网络战报道。

卡巴斯基已记录了多起黑客行动主义者和以牟利为目的的组织在入侵后行动中频繁使用 AnyDesk 的事件。例如，在 ICS-CERT 发布的 2024 年第四季度报告中，“Crypt Ghouls”威胁组织就使用了 Mimikatz、PingCastle、Resocks、AnyDesk 和 PsExec 等工具。在 2024 年第三季度，“BlackJack”组织则大量使用 AnyDesk、Radmin、PuTTY 以及 ngrok 隧道技术，以在俄罗斯政府、电信和工业环境中保持持久性。而这仅仅是冰山一角。

虽然 AnyDesk 并非唯一的远程访问工具，但它凭借其精美的图形界面和易用性脱颖而出。许多系统管理员都非常喜欢它。这意味着，无论 AnyDesk 是出于合法目的安装的，还是被攻击者滥用，您在调查过程中都会经常遇到它。

事件发生期间对 AnyDesk 活动进行调查

今天我们将重点介绍能够帮助您确定是否存在通过 AnyDesk 进行的未经授权访问的日志文件类型。这些日志可以揭示攻击者的 AnyDesk ID、其选择的显示名称、使用的操作系统，在某些情况下甚至可以揭示其 IP 地址。值得注意的是，经验不足的攻击者有时并未意识到 AnyDesk 会将本地用户名作为连接名称传输，这意味着他们的个人环境名称可能会突然出现在受害者的系统上。这些日志还可以帮助您了解是否存在文件传输或数据泄露。

对于许多安全事件响应案例而言，这种程度的洞察已经极具价值。此外，收集这些日志并将其导入您的安全信息和事件管理 (SIEM) 系统，可以帮助您针对可疑活动模式（例如夜间意外访问）生成警报。黑客通常喜欢在用户熟睡时作案，因此，任何通过远程工具进行的夜间访问都应引起您的警惕。

以下是进行此分析所需的日志文件及其完整路径：

C:\Users\%username%\AppData\Roaming\AnyDesk\ad.traceC:\Users\%username%\AppData\Roaming\AnyDesk\connection_trace.txtC:\ProgramData\AnyDesk\ad_svc.traceC:\ProgramData\AnyDesk\connection_trace.txt

AnyDesk 有两种不同的使用方式。第一种是作为可移植可执行文件使用。在这种情况下，用户无需安装即可直接运行程序。使用这种方式时，日志会存储在用户的 AppData 目录下。第二种方式是将 AnyDesk 安装为服务。安装完成后，它可以配置为无人值守访问，这意味着攻击者可以随时仅使用密码登录，而无需本地用户确认会话。当 AnyDesk 作为服务运行时，您还应该检查 ProgramData 目录，因为它包含自己的跟踪文件。AppData 文件夹仍然会保留ad.trace文件，这些文件共同构成了您调查的基础。

连接日志时间戳

connection_trace.txt日志文件相对易读，清晰地记录了 AnyDesk 连接的成功情况。以下是一个使用随机 AnyDesk ID 的示例：

2025年7月25日 12:10 收到用户 568936153 568936153

真实的 AnyDesk ID 已被隐去。重要的是，日志清楚地显示，2025 年 7 月 25 日 12:10 UTC，来自末尾列出的 AnyDesk ID 的入站连接成功。这已经证实了远程访问的发生，但我们可以利用其他日志进行更深入的调查。

收集有关入侵者的信息

现在我们进入调查的下一阶段，开始了解攻击者的身份。虽然攻击者可以随时更改姓名、ID 甚至操作系统，但一些规律仍然会浮现。除非极度偏执，否则大多数攻击者不会频繁更改显示名称。即便如此，时间戳也不会说谎。夜间反复发生的远程登录通常是未经授权访问的有力证据。

我们将主要处理ad.trace和ad_svc.trace文件。这些日志可能包含大量与成功会话无关的错误消息，因此可能比较嘈杂。一种有效的过滤方法是搜索特定的关键字。在 PowerShell 中，关键字可能如下所示：

PS&nbsp;>&nbsp;get-content&nbsp;.\ad.trace |&nbsp;select-string&nbsp;-list&nbsp;'Remote OS',&nbsp;'Incoming session',&nbsp;'app.prepare_task',&nbsp;'anynet.relay',&nbsp;'anynet.any_socket',&nbsp;'files',&nbsp;'text offers'&nbsp;|&nbsp;tee&nbsp;adtrace.log

PS&nbsp;>&nbsp;get-content&nbsp;.\ad_svc.trace |&nbsp;select-string&nbsp;-list&nbsp;'Remote OS',&nbsp;'Incoming session',&nbsp;'app.prepare_task',&nbsp;'anynet.relay',&nbsp;'anynet.any_socket',&nbsp;'files',&nbsp;'text offers'&nbsp;|&nbsp;tee&nbsp;adsvc.log

这些命令会筛选出最相关的日志行，并将它们保存到名为adtrace.log和adsvc.log的新文件中，同时仍然允许您在控制台中查看结果。tee命令在 Windows 和 Linux 系统中均如此运行。这一小小的改进使后续分析更加高效。

IP地址

在许多情况下，ad_svc.trace日志包含攻击者连接的外部 IP 地址。您通常会看到它被记录为“Logged in from”，旁边是列为“Accepting from”的 AnyDesk ID。出于隐私考虑，我们在使用的屏幕截图中已将这些值编辑掉，但您可以在之前创建的adsvc.log文件中轻松查看它们。

获取 IP 地址后，您可以在 SIEM 系统中进一步丰富其信息。地理位置、ASN 信息和历史记录查询可以帮助您了解攻击者是否使用了 VPN、托管服务提供商、被入侵的终端，甚至是其家庭 ISP。

名称和操作系统信息

在ad.trace 文件中，您通常会在提及“传入会话请求”的行中找到攻击者的显示名称。紧邻该字段，您会看到相应的 AnyDesk ID。您可能还会看到有关攻击者操作系统的信息。

在我们分析的例子中，攻击者从一台 Linux 机器连接，并将显示名称设置为“IT 部门”，试图伪装成合法用户。可想而知，用户通常不会对标记为“IT 支持”的远程会话产生怀疑，尤其是在攻击者表现得信心十足的情况下。

数据泄露

AnyDesk 不仅提供屏幕控制功能，还支持双向文件传输。这意味着攻击者可以直接通过会话上传恶意软件或窃取敏感的公司数据。在ad.trace日志中，您有时会看到类似“正在准备文件……”这样的提示，这表明正在进行文件操作。

单凭这一行信息并不总是能告诉你究竟传输了哪些文件，尤其是在攻击者使用临时目录的情况下。但是，将这些时间戳与标准的 Windows 取证证据（例如最近访问的文件、shellbag、跳转列表或服务器访问日志）进行关联，通常可以揭示攻击者查看或复制的具体内容。如果他们在会话期间访问了远程文件服务器，那么结合 AnyDesk 的时间戳，这些服务器日志就能非常清晰地还原事件经过。

在本案例中，攻击者冒充“IT部门”访问并窃取了使用该工作站的经理的“文档”文件夹中存储的文件。

概括

鉴于 AnyDesk 在合法 IT 环境和恶意攻击活动中的广泛应用，您应始终将其视为数字取证和事件响应工作流程中的高优先级对象。务必持续收集相关的 AnyDesk 日志文件并将其导入您的 SIEM 系统，以免可疑活动被忽略，尤其是在非工作时间。了解如何解读这些日志能够揭示攻击者原本难以察觉的行为。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《AnyDesk – APT 最喜爱的工具》