文章总结： 这篇文章复盘了一起伪装IT支持的HavocC2攻击案例，攻击者在11小时内横向移动9台主机。文章详细解析了邮件炸弹配合电话诱导的社会工程学攻击手法、DLL侧载免杀技术、Hell’sGate绕过EDR的底层原理，以及HavocDemon的持久化策略。最后提出了限制远程协助工具、监控异常DLL文件、关注行为特征等防护建议。 综合评分： 86 文章分类： 实战经验,红队,内网渗透,免杀,渗透测试

11小时横扫9台主机！伪装IT支持的Havoc C2攻击全流程深度复盘

原创

Hankzheng Hankzheng

技术修道场

2026年3月6日 08:03 广东

各位，最近安全圈出了个挺有意思的案例，看得我直冒冷汗。作为一名天天和服务器打交道的 IT 工程师，我必须得把这套连招拆解开来跟大家分享。这次的攻击者不玩虚的，11 个小时内从拿到初始权限到横向移动 9 台终端，这手速，生产环境的运维都没他们快！

这次攻击的核心武器是近两年风头正劲的 Havoc C2 框架。咱们今天就来盘一盘：这群“伪装成运维”的黑客，到底是怎么骗过受害者、绕过 EDR，最后在内网横行霸道的。

一、 前戏：让人无法拒绝的“运维电话”

攻击的开头其实并不新鲜，但非常“重工业”。

首先，受害者的收件箱会遭遇邮件炸弹（Email Bombing）。想象一下，你正因为几千封垃圾邮件清理不掉而崩溃时，电话响了。对方自称是公司的 IT 支持，语气专业、态度诚恳，说监测到了你的邮箱异常，需要远程接入帮你“修复反垃圾规则”。

人在这种焦虑状态下最容易放下防备。攻击者引导受害者使用 Quick Assist（Windows 自带远程协助）或 AnyDesk。接入后，他们熟练地打开浏览器，访问了一个部署在 AWS 上、仿冒微软的钓鱼页面。

骚操作来了：页面提示要输入密码才能“更新 Outlook 规则”。这步棋走得极妙：既收割了你的域账号密码，又为接下来的恶意文件下载打好了“这是安全补丁”的心理预防针。

这种“邮件轰炸 + 电话引导 + 远程协助”的组合拳，正是 Black Basta 等勒索组织最擅长的剧本。

二、 核心技术：DLL 侧载（Sideloading）的艺术

当受害者点击“更新规则”后，下载的并不是补丁，而是一个陷阱。为了躲避杀毒软件，攻击者玩了一手高级的免杀渗透。

1. 借刀杀人

他们下发了一个带有合法数字签名的二进制文件。研究人员发现了好几个版本，包括 ADNotificationManager.exe、DLPUserAgent.exe 甚至系统自带的 Werfault.exe。这些白名单文件本身没问题，但它们启动时会习惯性地加载一些配套的 DLL。

2. 狸猫换太子

攻击者将一个精心伪造的恶意 vcruntime140_1.dll 放在同目录下。程序启动时，会优先加载当前目录下的 DLL，这就是典型的 DLL Sideloading（侧载）。你的 EDR 看到的是微软或知名厂商的可信进程在运行，自然也就放行了。

三、 硬核对抗：地狱之门（Hell’s Gate）与 EDR 绕过

作为 IT 工程师，咱们得看点底层的。这个恶意的 DLL 并不是简单的后门，它内部集成的免杀技术非常硬核：

• 控制流混淆：

  静态分析工具看到的指令集逻辑像乱麻一样，根本理不清。

• 延迟执行：

  针对自动沙箱分析，代码会先执行一些毫无意义的循环“睡一会儿”，等沙箱超时退出了再干活。

• 动态调用绕过：

  这是最硬的地方。它使用了 Hell’s Gate（地狱之门） 和 Halo’s Gate（光环之门） 技术。

技术解析：

现在的 EDR 喜欢在 ntdll.dll 的系统调用（Syscalls）上设卡（Hooking）。攻击者通过 Hell’s Gate 技术，直接在内存中动态寻找原始的系统调用号（SSN），然后绕过 EDR 的监控钩子，直接跟内核对话。这就好比你在高速公路上设了收费站，结果人家直接开着越野车从旁边的荒野跑了。

四、 最终形态：Havoc Demon 的降临

穿透防御后，DLL 会释放出 Havoc Demon 的 Shellcode 并在内存中执行。Havoc 是一款比 Cobalt Strike 更现代的 C2 框架，它的 Demon 代理非常轻量且难以检测。

它是如何维持权限的？

攻击者显然深谙“鸡蛋不放在一个篮子里”的道理：

1. 计划任务：

   创建 Scheduled Tasks，确保重启后 Havoc Demon 依然能自动上线。

2. 合法 RMM 备份：

   在部分机器上，他们甚至部署了 Level RMM 或 XEOX 等合法的远程监控管理工具。即使 Havoc 被安全人员发现了，他们依然可以通过这些合法的“运维工具”重新杀回来。

五、 经验复盘：我们该如何防范？

通过这次复盘，我总结了几点咱们日常运维和安全建设中必须注意的坑：

1. 警惕“自带工具”： Windows 自带的 Quick Assist 简直成了黑客的远程控制神器，建议在内网策略中严格限制此类工具的使用权限。

2. 别迷信数字签名： 白名单程序加载 DLL 的过程是盲目的。对于 IT 部门来说，需要监控那些不常改动的系统目录下出现的异常 DLL 文件。

3. 行为胜过指纹： 针对 Hell’s Gate 这种直接系统调用的技术，特征码查杀已经失效了。我们需要更多关注异常的内网横向扫描、非正常时间段的计划任务创建等行为特征。

一句话总结： 黑客已经比你更了解你的运维流程了，他们用最专业的工具，演最像你的戏。

今天的分享就到这里。大家在实际工作中遇到过这种“伪装成同事”的攻击吗？或者你对绕过 EDR 的技术有什么心得？欢迎在评论区留言，咱们一起切磋！

如果你觉得这篇文章有用，请点赞并转发给有需要的兄弟。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《11小时横扫9台主机！伪装IT支持的Havoc C2攻击全流程深度复盘》