文章总结: 文档分析微软DART团队披露的真实案例:同一企业网络内同时潜伏两伙无关联黑客组织,大量使用Velociraptor、CloudflareTunnel等合法工具完成攻击链。核心发现是攻击趋势从恶意软件转向LivingofftheLand(LOTL)技术,利用可信工具规避检测。建议企业从修复暴露系统、强化身份安全、提升行为分析能力、监控合法工具异常使用四个层面加强防护。 综合评分: 85 文章分类: 应急响应,威胁情报,安全运营,漏洞分析,红队
两伙黑客同时潜伏一家企业,用的全是合法工具
原创
承影 承影
兰花豆说网络安全
2026年6月28日 21:33 湖北
在小说阅读器读本章
去阅读
AI图片导读:
如果企业被黑了,找到攻击者、清除木马、恢复业务——这事就算完了?
未必。
微软DART团队最近披露的一起真实案例,直接把”单线程思维”的安全认知按在地上摩擦:
同一家企业网络里,同时潜伏着两支毫无关联的攻击组织。
更魔幻的是,他们大量使用的不是什么新型恶意软件,而是企业每天都在跑的合法工具。
Velociraptor、Cloudflare Tunnel、Zoho Assist、VS Code Remote SSH……
运维在用,安全团队在用,黑客也在用。
这意味着什么?
网络攻击已经进入一个”敌我难辨”的新阶段,AI时代的网络攻击尤其如此,好人坏人难分。
#
01 / 一次勒索调查,挖出两伙黑客
事件的起点很普通——一起勒索软件应急响应。
微软在排查中发现,攻击者通过公网暴露的SharePoint服务器漏洞切入企业内网,随后持续探测目标系统,翻找win.ini、web.config等敏感文件,寻找更多突破口。
到这里,还算”标准剧本”。
但越往深查,画风越不对。
微软确认:网络中存在Storm-2603组织的攻击痕迹。与此同时,另一支完全无关的攻击组织也在同一环境中活动。
两伙人,两套手法,一个受害者。
这对安全团队意味着什么?
分析难度,直接翻倍。
你以为赶走了一个贼,殊不知隔壁屋还蹲着一个,还有可能两伙人在里面相互在打架了,哈哈!
#
02 / 攻击者为什么越来越爱”合法工具”?
这次事件最值得关注的,不是漏洞利用有多高级。
而是攻击者进了内网之后,几乎不碰恶意软件。
他们用的,全是企业自己就在跑的工具。
逐个来看:
🔹 Velociraptor——取证利器,反向成”侦察兵”
开源数字取证与应急响应工具,安全团队做调查的标配。
攻击者拿到SYSTEM权限后直接部署,对整个内网资产进行枚举和信息收集。
致命问题在于:安全人员看到Velociraptor在跑,第一反应是”同事在做调查”,而不是”黑客在侦察”。
🔹 Cloudflare Tunnel——加密隧道,流量隐身
攻击者用它建立加密通信通道,所有流量经Cloudflare网络转发。
传统边界安全设备看这些流量,和正常访问Cloudflare服务几乎没有区别。
C2通信藏在了合法CDN流量里。
🔹 Zoho Assist——远程运维软件,持久化神器
企业远程运维常见软件,攻击者直接拿来做远程控制。
最狠的一点:就算WebShell被清掉了,靠这条通道照样能重新进来。
清了一扇门,人家还有一扇窗。
🔹 VS Code Remote SSH——开发者天天在用
攻击者通过VS Code建立SSH连接,伪装成开发人员的正常开发行为。
对SOC平台来说,这种行为几乎不会触发高风险告警。
谁能分清这是程序员在写代码,还是黑客在搞事情?
除了上述工具,攻击者还顺手做了一整套”常规操作”:
● 创建新的本地管理员账户
● 创建域管理员账户
● 利用存在漏洞的驱动程序关闭安全防护
● 修改系统内存绕过EDR检测
整个过程,恶意代码反而不是重点,合法工具才是主角。
国内的安全厂商也得注意避免合法的安全产品被当成黑客工具使用,例如固信、联软、盈高等做终端管理和准入的厂商。
#
03 / 传统检测的三板斧,正在失灵
过去识别攻击,主要靠三个维度:
有没有木马?有没有病毒?有没有恶意程序?
文件检测、特征匹配、哈希比对——三板斧抡了几十年。
但现在,越来越多APT攻击已经变了。
攻击者大量采用一种经典思路——Living off the Land(LOTL,就地取材)。
什么意思?
利用系统已有组件、合法工具和可信软件,完成整个攻击链。
为什么有效?因为:
● 软件本身可信,数字签名正常
● 企业原本就在使用,不会引起怀疑
● 行为看起来像正常运维
于是传统安全产品面对一个尴尬的问题:
到底是管理员在运维,还是黑客在横向移动?
分不清。
这就是为什么近年来越来越多攻击事件中,真正暴露攻击者的,不再是某个恶意文件——而是多个行为串联后的异常轨迹。
检测重点,正在从”文件检测”转向”行为检测”。
04 / AI时代:从”黑客”到”攻击智能体”
如果说过去这些操作还需要人工完成,未来呢?
AI Agent可能进一步把攻击成本打到底。
一个具备自主能力的攻击Agent,理论上可以自动完成:
✅ 搜索可利用漏洞
✅ 自动部署远程管理工具
✅ 建立多条持久化通道
✅ 自动创建账号
✅ 绕过安全策略
✅ 根据防御情况动态切换控制方式
未来企业面对的,可能不是一名黑客,而是一个7×24小时不停歇的”攻击智能体”。
这也是AI安全越来越受关注的原因。真正需要防御的,不只是大模型和智能体本身的安全,而是AI驱动下的新型攻击方式。
#
05 / 企业现在该重点抓什么?
微软在此次事件中给出了值得参考的防护建议,我梳理为四个层面:
一、堵住入口:修复互联网暴露系统
重点关注SharePoint、Exchange、VPN等关键入口的漏洞修复,别让攻击者轻松拿到初始访问权限。大门要守好,建议大门外还要加一圈围墙。
二、守住身份:强化身份安全
多因素认证、最小权限管理,持续监控异常账号和权限变更。凭据滥用,是横向移动最常见的跳板。坚持零信任理念,永不信任,持续验证,做好隔离。
三、提升可见性:跨域关联分析
统一采集终端、身份、网络及云环境日志,构建跨域关联分析能力。让分散的异常行为,能串联成完整攻击链。通过AI进行异常行为分析,不能以身份判别人的好坏,而是要通过行为判断人的好坏。
四、盯紧合法工具:重点排查异常使用
Velociraptor、Cloudflare Tunnel、Zoho Assist、AnyDesk、TeamViewer、VS Code Remote SSH——这些工具本身不危险,但一旦出现在异常时间、异常设备、异常身份下,就必须触发排查。
不能因为”工具合法”就直接放行。
合法是属性,不是免检通行证。
#
写在最后
越来越多的真实案例在传递同一个信号:
真正危险的,已经不是那些容易识别的恶意程序,而是那些看起来一切正常的行为。不能从单一维度和行为来识别,应当通过多个维度,从整个路径链条按时间线结合起来分析异常行为。
攻击者正在学会用企业自己的工具,隐藏自己。
安全防护,也必须从”识别恶意软件”,升级到”识别异常行为”。
未来的攻防竞争,比拼的不再是谁的病毒特征库更大,而是谁能更快发现那些藏在正常业务中的异常轨迹。
合法工具不会消失,也不会被禁用。
但如何识别它们被恶意利用,将成为未来企业安全运营最核心的能力之一。
信息来源:https://cybersecuritynews.com
END
推荐阅读
美国水务系统频遭黑客攻击,为何中国很少发生?
2026-06-27
网站自动跳转”小黄网”?鄂尔多斯一煤矿企业栽了,被网信办立案处罚!
2026-06-20
高考填志愿,网安专业还值得报吗?
2026-06-19
LockBit勒索病毒的前世今生和应对策略
2026-06-19
2026年,网络安全公司该怎么活?
2026-06-18
2026年,传统安全产品创业,还有出路吗?
2026-06-17
小白入门 | 渗透测试系统Kali安装全过程
2026-06-16
小白入门 | 社会工程学模拟工具setoolkit
2026-06-16
没有安全数据积累,就别谈AI赋能网络安全
2026-06-14
罚款1000万!携程踩了这条红线
2026-06-13
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:兰花豆说网络安全 承影 承影《两伙黑客同时潜伏一家企业,用的全是合法工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论