文章总结： 本文以美伊网络冲突为例深入剖析国家级网络攻击技术演进。核心发现包括攻击者采用长期潜伏、定制后门及云服务滥用策略，并呈现供应链攻击、零日漏洞利用及AI辅助攻击等新趋势。文章指出网络战已延伸至关键基础设施与舆论战领域，建议企业加强供应链安全审查、云流量监控及OT系统防护以应对复合型威胁。 综合评分： 83 文章分类： 威胁情报,红队,供应链安全,内网渗透,安全建设

从美伊网络战看国家级网络攻击的技术演进

原创

木火纪 木火纪

木火纪

2026年3月9日 10:36 浙江

引言

随着地缘政治冲突升级，网络空间已经成为国家博弈的重要战场。2026年初，美国与伊朗之间的军事冲突迅速延伸到网络领域，多起针对金融、航空、软件企业和关键基础设施的攻击被披露。

这些行动不仅体现出国家级APT组织的长期渗透能力，也反映出近年来网络战常见的攻击技术和战术。

本文将从近期美伊网络冲突事件出发，总结攻击中使用的典型TTPS，并进一步分析近年来国家级网络战常见的技术趋势。

美伊网络战中的攻击技术

长期潜伏与预置访问（Initial Access & Persistence）

在最近披露的攻击中，伊朗APT组织 MuddyWater（Seedworm） 已经提前进入多个目标网络，包括美国银行、机场、非营利机构以及一家与国防行业相关的软件公司。攻击活动实际上在军事冲突爆发之前就已经开始，这说明国家级攻击者通常会在目标网络中进行长期潜伏和预置访问。

这类行为在 MITRE ATT&CK 中通常对应以下技术：

• • T1078 Valid Accounts：利用合法账户维持访问
• • T1133 External Remote Services：远程服务访问企业网络
• • T1053 Scheduled Tasks：建立定时任务维持持久化

这种策略的核心目标不是立即破坏，而是确保在政治或军事冲突升级时能够迅速发动网络行动。

定制后门与新型恶意软件

在此次攻击中，研究人员发现了一种此前未公开的后门 Dindoor，该恶意程序利用 Deno JavaScript runtime 运行，并在多个受害网络中被部署。

国家级攻击通常会使用定制化恶意软件，因为：

• • 可以绕过传统杀毒检测
• • 减少IOC被共享后的检测概率
• • 可以灵活适配不同攻击环境

相关攻击技术包括：

• • T1059 Command and Scripting Interpreter
• • T1105 Ingress Tool Transfer
• • T1574 Hijack Execution Flow

这种趋势也表明，越来越多APT开始使用现代开发环境（如Node、Deno、Python）来开发攻击工具。

利用云存储进行数据窃取

在部分入侵事件中，攻击者尝试使用 Rclone 将数据上传至云存储平台进行外传。这类方法相比传统FTP或C2服务器更加隐蔽，因为流量看起来像正常的云服务通信。

典型对应技术包括：

• • T1567 Exfiltration Over Web Services
• • T1041 Exfiltration Over C2 Channel

攻击者通常会选择常见云服务平台作为中转节点，使数据外传行为难以区分。

利用云平台分发恶意软件

另一种后门 Fakeset 通过云存储平台下载到受害者系统，这种方式能够减少恶意基础设施被封禁的风险。

相关TTPS包括：

• • T1105 Ingress Tool Transfer
• • T1583 Infrastructure Acquisition

APT组织越来越多地使用合法平台来托管恶意文件，例如：

• • 云存储
• • Git仓库
• • CDN

这样可以大幅降低基础设施被发现的概率。

签名证书滥用

研究人员还发现，攻击者使用签名证书对恶意软件进行签名，使其看起来像合法软件。

相关攻击技术包括：

• • T1553 Subvert Trust Controls

这种方法可以绕过部分安全产品的信任机制，也是国家级攻击中常见的手段。

Hacktivism 与大规模DDoS

在冲突升级后，多个与伊朗相关的黑客组织和黑客行动主义团体也参与网络攻击，包括针对政府机构、媒体和金融系统的网站发起 DDoS 攻击和网站篡改。

相关TTPS包括：

• • T1498 Network Denial of Service
• • T1491 Defacement

这种攻击通常用于制造政治影响或心理压力，而不是直接获取数据。

关键基础设施与OT系统攻击

在最近的冲突中，还出现了针对 粮食储存系统、水泵控制系统等工业设备 的攻击尝试，这表明网络战已经扩展到工业控制系统和关键基础设施领域。

相关攻击技术包括：

• • T0866 Modify Control Logic
• • T0827 Manipulation of Control

OT攻击的目标通常是：

• • 关键基础设施
• • 能源系统
• • 交通系统
• • 工业生产系统

近年来国家级网络战的技术趋势

通过分析近年来多起国家级网络行动，可以总结出一些典型技术趋势。

供应链攻击

攻击者通过入侵软件供应商或更新系统传播恶意代码，这种攻击可以一次性影响大量目标。

典型技术：

• • T1195 Supply Chain Compromise

供应链攻击在国家级行动中越来越常见，因为其传播范围极广。

零日漏洞利用

国家级APT通常会使用未公开漏洞获取初始访问权限。

相关技术：

• • T1190 Exploit Public-Facing Application

零日漏洞在政府、企业和关键基础设施攻击中经常出现。

数据泄露与舆论战

近年来的网络行动越来越强调信息战。攻击者不仅窃取数据，还会公开泄露以制造政治影响。

相关技术：

• • T1565 Data Manipulation
• • T1657 Data Leak

这种“黑客 + 信息战”的模式已经成为常见手段。

物联网设备攻击

越来越多攻击开始针对 摄像头、路由器、工业设备 等物联网设备。

原因包括：

• • 安全性较弱
• • 数量庞大
• • 可用于监控或攻击

相关技术包括：

• • T1046 Network Service Discovery
• • T0886 Modify Device Configuration

AI辅助攻击

近年来部分国家级攻击组织已经开始使用 AI 工具辅助攻击，例如：

• • 自动化钓鱼邮件生成
• • 恶意代码开发
• • 社会工程攻击

虽然AI攻击仍处于早期阶段，但预计未来将成为网络战的重要工具。

总结

从最近的美伊网络冲突可以看出，现代网络战已经不再是简单的黑客入侵，而是结合情报渗透、长期潜伏、定制恶意软件、云服务滥用以及关键基础设施攻击的复杂行动体系。

同时，大规模DDoS、数据泄露和信息战也被广泛用于政治和心理战。

随着技术发展，未来国家级网络攻击可能进一步结合AI工具、供应链攻击和OT系统攻击，使网络空间成为地缘政治冲突中越来越关键的战场。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：木火纪 木火纪 木火纪《从美伊网络战看国家级网络攻击的技术演进》