文章总结： 本文详细记录了攻击者滥用ZohoUEMS合法管理软件作为远控后门的应急响应过程。攻击者通过微信传播木马文件诱导用户执行，进而释放恶意程序并静默安装UEMS_Agent维持权限。排查过程中，安全团队通过排除网络误报、分析Prefetch及$MFT文件锁定了初始感染源与攻击时间线，并利用UEMS配置文件定位了C2服务器。文章建议企业加强对未知管理软件的监控，建立软件白名单机制，并持续提升员工对钓鱼文件的识别与防范能力。 综合评分： 88 文章分类： 应急响应,实战经验,恶意软件,威胁情报

应急案例分享-利用UEMS作为远控

原创

happy happy

Desync InfoSec

2026年1月31日 18:06 广东

点击蓝字 关注我们

事发

某同事突然在微信工作群里发送关于补助办理以及二维码的通知。

随后群里的同事以及受害者本人看到消息，判断出可疑并立刻通知到安全团队。遂上机排查。

分析与排查

受害者A记录

同样是从网络外联入手，发现受害电脑存在与123.182.162.200、220.181.181.58外联，经情报中心判断俩IP命中恶意情报。

定位到由SearchHost.exe进程发起的外联，该进程为一个关键的、合法的系统进程，主要用于支持开始菜单和任务栏中的搜索功能，此处猜测黑客使用进程注入技术，但经过工具dump出dll文件并进行排查，无恶意行为产生。

后续经确认，Windows操作系统进行网络通信时，会使用到微软的一些CDN，这些CDN会被威胁情报识别为扫描类型的恶意IP，属预期行为。

网络外联的线索中断后，再根据事发的这个时间点作为线索对文件排查，无果。尝试根据常规后门分析排查，同样无果。至此所有排查线索中断。

但在文件排查的过程中，发现受害电脑存在UEMS_Agent程序。

这是一款由印度Zoho集团开发的企业级“桌面与终端统一管理系统”（远程管理类软件）。据该公司官网介绍，该软件有远控软件常用的功能，例如，远端档案传输、多监视器支持、录制远端会话等功能。

根据对该程序的历史连接记录进行查询，发现黑客首次远程受害电脑时间，并确认进行远程控制的时间段，符合黑客操作受害电脑，通过微信进行群发钓鱼信息操作的时间范围。

另外，内部组织未对全员要求安装该厂商的桌面管理软件，因此和受害者确认了该软件并非本人安装后，确认了黑客是通过一个合法桌管软件对受害电脑进行远程控制且作为权限维持的手段。

同时，通过对Windows的Prefetch文件进行分析，确认了在UEMS_Agent安装之前运行的程序有TINYDL.EXE等，均在“啊啊”目录下。

对该“啊啊”文件夹丢进沙箱进行分析，发现标记为木马程序，并且里面的11.zip文件被密码加密，判断该文件夹存在异常。

通过对系统的$MFT文件进行取证分析，确认“啊啊”文件夹落地时间。

利用Prefetch文件中，排查加载过“啊啊”文件夹下的相关文件进行反查，确认出受害者运行9120251114081341.EXE程序的时间，且该程序为初始感染木马载体。

全局检索“9120251114081341”相关文件，在微信相关的临时文件夹找到，推断9120251114081341.EXE木马文件来源于微信。

在微信进一步排查确认来源，另一位受害者同事B存在向公司工作群里群发木马文件行为。（图略）

最后，清理该受害者A电脑所有发现的木马文件以及UEMS_Agent服务和计划任务。

受害者B记录

联系受害者B并于其受害电脑进行分析排查。根据在受害者A电脑排查得到的线索，直接在受害者B电脑上全局检索初始感染木马载体，发现微信相关的多个文件夹中存在该压缩包，意味着黑客同样利用受害者B电脑进行大量群发，并且在回收站发现木马程序“9120251114081341.exe”。

同样在受害电脑中发现黑客同样使用UEMS_Agent作为远控以及后门，

并且在文件中发现一键安装该Agent的脚本，可以确认黑客安装UEMS_Agent时间。

另外在服务排查过程中发现一个名为“Micros”的服务，指向的程序名为“LGHelp.exe”。一台联想电脑有一个LG助手的程序，明显存在异常。

同样扔进云沙箱进行分析，确认为木马文件

受害主机上装有360安全卫士，顺理查看查杀记录，发现受害者分别下载名为“client_setup_S2597546138_.exe”恶意文件以及执行”projone”文件夹中的木马文件的情况。

最后根据木马程序“9120251114081341.exe”在社交软件进行溯源，发现受害者B收到来自外部受害者群发的木马文件，判断受害者B因此中招。

最后同样清理所有木马文件、后门服务以及计划任务。

UEMS_Agent配置文件分析

通过分析受害A电脑和受害B电脑的UEMS_Agent配置文件DCAgentServerInfo.json，确认黑客控制服务器分别为206[.]238.179.188:8383和154[.]91.64.91:8383

IoC

206[.]238.179.188

154[.]91.64.91

3541dcb232ec3682b6405dbfbdec7aa3

832b5d4362b9ee2f9db6c0c65587f1ea

6615332a36e97c8f947bab3a88741950

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec happy happy《应急案例分享-利用UEMS作为远控》