两伙黑客同时潜伏一家企业,用的全是合法工具

admin 2026-06-30 06:30:24 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档分析微软DART团队披露的真实案例:同一企业网络内同时潜伏两伙无关联黑客组织,大量使用Velociraptor、CloudflareTunnel等合法工具完成攻击链。核心发现是攻击趋势从恶意软件转向LivingofftheLand(LOTL)技术,利用可信工具规避检测。建议企业从修复暴露系统、强化身份安全、提升行为分析能力、监控合法工具异常使用四个层面加强防护。 综合评分: 85 文章分类: 应急响应,威胁情报,安全运营,漏洞分析,红队


cover_image

两伙黑客同时潜伏一家企业,用的全是合法工具

原创

承影 承影

兰花豆说网络安全

2026年6月28日 21:33 湖北

在小说阅读器读本章

去阅读

AI图片导读:

如果企业被黑了,找到攻击者、清除木马、恢复业务——这事就算完了?

未必。

微软DART团队最近披露的一起真实案例,直接把”单线程思维”的安全认知按在地上摩擦:

同一家企业网络里,同时潜伏着两支毫无关联的攻击组织。

更魔幻的是,他们大量使用的不是什么新型恶意软件,而是企业每天都在跑的合法工具。

Velociraptor、Cloudflare Tunnel、Zoho Assist、VS Code Remote SSH……

运维在用,安全团队在用,黑客也在用。

这意味着什么?

网络攻击已经进入一个”敌我难辨”的新阶段,AI时代的网络攻击尤其如此,好人坏人难分。

#

01 / 一次勒索调查,挖出两伙黑客

事件的起点很普通——一起勒索软件应急响应。

微软在排查中发现,攻击者通过公网暴露的SharePoint服务器漏洞切入企业内网,随后持续探测目标系统,翻找win.ini、web.config等敏感文件,寻找更多突破口。

到这里,还算”标准剧本”。

但越往深查,画风越不对。

微软确认:网络中存在Storm-2603组织的攻击痕迹。与此同时,另一支完全无关的攻击组织也在同一环境中活动。

两伙人,两套手法,一个受害者。

这对安全团队意味着什么?

分析难度,直接翻倍。

你以为赶走了一个贼,殊不知隔壁屋还蹲着一个,还有可能两伙人在里面相互在打架了,哈哈!

#

02 / 攻击者为什么越来越爱”合法工具”?

这次事件最值得关注的,不是漏洞利用有多高级。

而是攻击者进了内网之后,几乎不碰恶意软件。

他们用的,全是企业自己就在跑的工具。

逐个来看:

🔹 Velociraptor——取证利器,反向成”侦察兵”

开源数字取证与应急响应工具,安全团队做调查的标配。

攻击者拿到SYSTEM权限后直接部署,对整个内网资产进行枚举和信息收集。

致命问题在于:安全人员看到Velociraptor在跑,第一反应是”同事在做调查”,而不是”黑客在侦察”。

🔹 Cloudflare Tunnel——加密隧道,流量隐身

攻击者用它建立加密通信通道,所有流量经Cloudflare网络转发。

传统边界安全设备看这些流量,和正常访问Cloudflare服务几乎没有区别。

C2通信藏在了合法CDN流量里。

🔹 Zoho Assist——远程运维软件,持久化神器

企业远程运维常见软件,攻击者直接拿来做远程控制。

最狠的一点:就算WebShell被清掉了,靠这条通道照样能重新进来。

清了一扇门,人家还有一扇窗。

🔹 VS Code Remote SSH——开发者天天在用

攻击者通过VS Code建立SSH连接,伪装成开发人员的正常开发行为。

对SOC平台来说,这种行为几乎不会触发高风险告警。

谁能分清这是程序员在写代码,还是黑客在搞事情?

除了上述工具,攻击者还顺手做了一整套”常规操作”:

● 创建新的本地管理员账户

● 创建域管理员账户

● 利用存在漏洞的驱动程序关闭安全防护

● 修改系统内存绕过EDR检测

整个过程,恶意代码反而不是重点,合法工具才是主角。

国内的安全厂商也得注意避免合法的安全产品被当成黑客工具使用,例如固信、联软、盈高等做终端管理和准入的厂商。

#

03 / 传统检测的三板斧,正在失灵

过去识别攻击,主要靠三个维度:

有没有木马?有没有病毒?有没有恶意程序?

文件检测、特征匹配、哈希比对——三板斧抡了几十年。

但现在,越来越多APT攻击已经变了。

攻击者大量采用一种经典思路——Living off the Land(LOTL,就地取材)。

什么意思?

利用系统已有组件、合法工具和可信软件,完成整个攻击链。

为什么有效?因为:

● 软件本身可信,数字签名正常

● 企业原本就在使用,不会引起怀疑

● 行为看起来像正常运维

于是传统安全产品面对一个尴尬的问题:

到底是管理员在运维,还是黑客在横向移动?

分不清。

这就是为什么近年来越来越多攻击事件中,真正暴露攻击者的,不再是某个恶意文件——而是多个行为串联后的异常轨迹。

检测重点,正在从”文件检测”转向”行为检测”。

04 / AI时代:从”黑客”到”攻击智能体”

如果说过去这些操作还需要人工完成,未来呢?

AI Agent可能进一步把攻击成本打到底。

一个具备自主能力的攻击Agent,理论上可以自动完成:

✅ 搜索可利用漏洞

✅ 自动部署远程管理工具

✅ 建立多条持久化通道

✅ 自动创建账号

✅ 绕过安全策略

✅ 根据防御情况动态切换控制方式

未来企业面对的,可能不是一名黑客,而是一个7×24小时不停歇的”攻击智能体”。

这也是AI安全越来越受关注的原因。真正需要防御的,不只是大模型和智能体本身的安全,而是AI驱动下的新型攻击方式。

#

05 / 企业现在该重点抓什么?

微软在此次事件中给出了值得参考的防护建议,我梳理为四个层面:

一、堵住入口:修复互联网暴露系统

重点关注SharePoint、Exchange、VPN等关键入口的漏洞修复,别让攻击者轻松拿到初始访问权限。大门要守好,建议大门外还要加一圈围墙。

二、守住身份:强化身份安全

多因素认证、最小权限管理,持续监控异常账号和权限变更。凭据滥用,是横向移动最常见的跳板。坚持零信任理念,永不信任,持续验证,做好隔离。

三、提升可见性:跨域关联分析

统一采集终端、身份、网络及云环境日志,构建跨域关联分析能力。让分散的异常行为,能串联成完整攻击链。通过AI进行异常行为分析,不能以身份判别人的好坏,而是要通过行为判断人的好坏。

四、盯紧合法工具:重点排查异常使用

Velociraptor、Cloudflare Tunnel、Zoho Assist、AnyDesk、TeamViewer、VS Code Remote SSH——这些工具本身不危险,但一旦出现在异常时间、异常设备、异常身份下,就必须触发排查。

不能因为”工具合法”就直接放行。

合法是属性,不是免检通行证。

#

写在最后

越来越多的真实案例在传递同一个信号:

真正危险的,已经不是那些容易识别的恶意程序,而是那些看起来一切正常的行为。不能从单一维度和行为来识别,应当通过多个维度,从整个路径链条按时间线结合起来分析异常行为。

攻击者正在学会用企业自己的工具,隐藏自己。

安全防护,也必须从”识别恶意软件”,升级到”识别异常行为”。

未来的攻防竞争,比拼的不再是谁的病毒特征库更大,而是谁能更快发现那些藏在正常业务中的异常轨迹。

合法工具不会消失,也不会被禁用。

但如何识别它们被恶意利用,将成为未来企业安全运营最核心的能力之一。

信息来源:https://cybersecuritynews.com

END

推荐阅读

美国水务系统频遭黑客攻击,为何中国很少发生?

2026-06-27

网站自动跳转”小黄网”?鄂尔多斯一煤矿企业栽了,被网信办立案处罚!

2026-06-20

高考填志愿,网安专业还值得报吗?

2026-06-19

LockBit勒索病毒的前世今生和应对策略

2026-06-19

2026年,网络安全公司该怎么活?

2026-06-18

2026年,传统安全产品创业,还有出路吗?

2026-06-17

小白入门 | 渗透测试系统Kali安装全过程

2026-06-16

小白入门 | 社会工程学模拟工具setoolkit

2026-06-16

没有安全数据积累,就别谈AI赋能网络安全

2026-06-14

罚款1000万!携程踩了这条红线

2026-06-13


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:兰花豆说网络安全 承影 承影《两伙黑客同时潜伏一家企业,用的全是合法工具》

评论:0   参与:  0