2026-03-12 23:11:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详述了伊朗APT组织MuddyWater利用基于Deno运行时的Dindoors后门绕过检测，并通过Rclone窃取数据至云存储。其最显著特征是利用监控摄像头漏洞辅助导弹瞄准与战损评估，实现赛博与物理空间协同作战。溯源关键在于恶意软件数字证书复用。建议企业加强对合法工具的审计、重视云端身份防护及IoT设备固件更新。 综合评分： 86 文章分类： 威胁情报,恶意软件,漏洞分析,安全建设,实战经验

cover_image

赛博战升级：看黑客如何利用监控摄像头给导弹导航？MuddyWater 攻击细节全解

原创

Hankzheng Hankzheng

技术修道场

2026年3月12日 08:05 广东

大家好，最近中东局势在物理世界打得不可开交，而赛博空间的“暗战”更是精彩（也更令人心惊胆战）。就在这两天，赛门铁克（Symantec）和 Carbon Black 曝出了一个重磅消息：长期活跃的伊朗背景 APT 组织 MuddyWater（泥水，又名 Seedworm） 再次亮剑，不仅渗透了美国多家银行、机场，还祭出了一款此前从未见过的、基于 Deno 运行时 的新型后门。

作为技术人，咱们不只看热闹，更要看门道。今天我就带大家拆解一下这次攻击的技术路径，看看这帮顶级黑客又是如何玩出新花样的。

一、 Dindoors 后门：当 JavaScript 运行时变成“夺命符”

这次攻击中最让我直呼“好家伙”的，是一款名为 Dindoor 的新后门。它的核心思路非常前卫：它不直接跑二进制木马，而是利用了 Deno。

为什么选择 Deno？

大家知道，Deno 是 Node.js 之父 Ryan Dahl 打造的“下一代 JavaScript 运行时”。它主打安全、原生支持 TypeScript。但讽刺的是，黑客正是利用了它的“先进性”：

绕过常规检测：

大多数企业的 EDR（端点检测与响应）系统对 node.exe 盯得很死，但对于 deno.exe 这个相对较新的工具，很多安全规则库还没建立起完善的特征识别。
动态模块加载：

Deno 原生支持通过 URL 导入模块。这意味着黑客可以先投递一个极小的“引子”，然后在运行时动态从远程服务器拉取恶意的 JS 代码执行。这种“内存执行、不落盘”的特性，让取证变得极其困难。

实现难点与方案

黑客通过社会工程学或漏洞拿到初始权限后，会在目标机器上静默部署 Deno 运行环境。Dindoor 后门利用 Deno 的网络 API 建立持久化隧道，实现对受害主机的远程控制（C2）。

二、数据大搬家：Rclone 与 Wasabi 的“借刀杀人”

拿到了权限，下一步就是偷数据。MuddyWater 这次并没有自己写复杂的上传协议，而是直接使用了 Rclone。

点评：

Rclone 本是个管理云存储的“瑞士军刀”，但在黑客手里，它就是最高效的“搬运工”。

他们将窃取的敏感数据通过 Rclone 同步到 Wasabi 存储桶。这一招非常高明：

协议混淆：

Rclone 走的都是标准的 HTTPS 加密流量，混在正常的办公流量里，普通的防火墙根本识别不出来。
白名单信任：

很多公司的网关对 Wasabi 或 Backblaze 这种合法的云备份服务是不拦截的，黑客直接利用了这种“信任盲区”。

三、骚操作：摄像头竟然成了“导弹观察员”？

文章中最硬核的部分来了：伊朗黑客对摄像头的疯狂执着。

研究发现，黑客大量利用了 CVE-2017-7921、CVE-2023-6895 等已知漏洞。你以为他们只是想偷看监控？不，他们的目标是 BDA（Battle Damage Assessment，战损评估）。

技术实现逻辑：

战前踩点：

通过漏洞控制目标区域（如机场、油库周边）的摄像头。
实时导引：

在导弹或无人机发动攻击时，通过实时监控画面确认目标位置。
战后评估：

爆炸发生后，黑客直接通过监控画面观察损毁程度，回报总部决定是否需要“补刀”。

这已经不是单纯的窃密，而是标准的“赛博-物理协同作战”。这种将网络空间能力转化为物理打击效能的手段，值得我们每一个搞技术的人警惕。

四、溯源指纹：那枚暴露身份的“数字证书”

黑客在操作中也不是天衣无缝的。除了 Dindoor，他们还用了基于 Python 的 Fakeset 后门。这次能实锤是 MuddyWater 干的，关键证据就在数字签名上。

Fakeset 使用的签名证书，之前曾出现在 Stagecomp 和 Darkcomp 恶意软件中。即使代码重写、C2 服务器更换，但这种底层基础设施的复用，成了安全专家顺藤摸瓜的关键“指纹”。

五、给同行们的防御避坑指南

面对这种国家级的 APT 攻击，咱们普通 IT 人该怎么防？

盯紧“合法工具”：

对于 Deno、Rclone、PowerShell 这种“亦正亦邪”的工具，要建立严格的白名单审计机制。
防御重点移向云端：

报告提到，现在的攻击重点已转向 Identity and Cloud Control Planes（身份与云控制平面）。保护好你的管理员 AK/SK，比守住机房大门更重要。
IoT 固件必更：

那些公网可见的摄像头、VPN 网关，请务必更新到最新补丁。黑客手中的扫描器是 24 小时不停机的。
实施 MFA：

即使密码被钓鱼，抗劫持的多因素认证（如 FIDO2）依然是最后一道硬核防线。

写在最后：

赛博世界的攻防永远是不对称的。MuddyWater 的案例告诉我们，黑客不再仅仅追求“新奇”的漏洞，他们更擅长利用现有的技术工具（如 Deno）和我们防护上的疏忽。如果你对 Dindoor 的具体指令集解析感兴趣，或者想了解如何配置 Deno 的安全沙箱，欢迎在评论区留言交流！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《赛博战升级：看黑客如何利用监控摄像头给导弹导航？MuddyWater 攻击细节全解》