文章总结: 该文档详细分析了一个公开的匿名WebDAV载荷服务器,该服务器被用于分发针对Windows系统的窃密远控木马工具链。攻击者自2026年6月下旬至7月上旬持续迭代恶意组件,构建了从钓鱼投递、环境适配、反调试免杀、多重持久化到内存执行和定向窃密的完整攻击闭环。该工具链技术成熟,具备高隐蔽性和对抗性,对政企内网和数字货币资产构成严重威胁。 综合评分: 90 文章分类: 恶意软件,威胁情报,红队,内网渗透
匿名WebDAV载荷服务器关联Windows窃密远控工具全链路研判分析
原创
CyberOk CyberOk
CyberOk
2026年7月7日 17:26 北京
在小说阅读器读本章
去阅读
近日,安全研究者发现了一个疑是黑客组织的网络基础设施,可公开访问。基于对该WebDAV载荷目录、恶意批处理加载器、劫持型VERSION恶意DLL、一级持久化Python加载器svc32.py四类交叉佐证样本的分析,完成全套恶意工具链的完整溯源、技术拆解与风险研判。目标站点为WsgiDAV 4.3.4服务,开放匿名用户读写权限,可被攻击者任意上传、修改、迭代恶意载荷。站点内文件时间戳集中在2026年6月23日至7月4日,存在大量迭代备份版本,证明该工具链处于持续维护、持续优化状态。经精准比对,服务器存储的DLL、Python、BAT、PS1、VBS、HTA、钓鱼诱饵、便携运行环境等全套组件,与前期逆向分析的三段恶意代码硬编码地址、文件名称、执行逻辑完全匹配。整套攻击体系集成反调试、虚拟机沙箱对抗、多重系统持久化、SSL校验绕过、内存无文件执行、落地文件自清除、剪贴板劫持、数字货币窃取、敏感信息抓取等成熟黑产技术,形成从钓鱼投放、环境适配、对抗免杀、长期驻留到远程控密的完整闭环攻击链路,对Windows终端及政企内网具备极高安全威胁。
一、站点基础信息与精准属性核查
1.1 服务器基础属性
目标节点为部署 WsgiDAV 4.3.4 的文件分发服务器,目录 /payload/ 对外开放 anonymous匿名读写权限,未做访问鉴权与资源隔离,攻击者可远程更新、替换、新增任意恶意载荷。站点最新服务时间戳为 2026年07月04日 23:03 GMT,整体工具链迭代周期密集,具备专业化黑产运维特征。
1.2 样本迭代时间维度(完全对标原始目录)
全部恶意组件迭代时间区间:2026年06月23日—2026年07月04日。早期基础加载器、窃密模块诞生于6月23日;6月26日—29日集中完成沙箱对抗、签名修复、通信加固、持久化优化;7月4日完成最终版DLL劫持模块、主题伪装批处理、核心木马功能增强,为当前稳定上线版本。目录存在大量带 bak_* 前缀的迭代备份文件,覆盖 sig签名修复、digest摘要校验、env环境适配、vm虚拟机规避、tcp通信优化等专项迭代方向。
1.3 目录文件与已知恶意样本精准对应关系
经逐一对标前期逆向的BAT加载器、VERSION劫持DLL、svc32.py加载器代码,服务器载荷与恶意代码硬编码资源完全吻合,具体对应如下:
-
批处理加载体系:run.bat、s0.bat、ThemeSvc.bat、ThemeMaint.bat,对应第一层环境适配与下载加载逻辑,负责自动拉取svc32.py;
-
一级持久化加载器:svc32.py(3266字节,2026-06-29更新),配套多版签名与前缀优化备份;
-
二级核心远控木马:d32.py(200415字节,2026-07-04最新迭代),为整套工具链功能主体,具备多版本功能增强、算法修复备份;
-
DLL劫持驻留模块:VERSION.dll(17920字节)、ThemeUI.dll及对应C源码,为攻击者自主编译的系统伪装劫持组件;
-
Python运行环境包:py.zip(15280838字节)、pyembed.zip,用于无Python环境终端自动部署运行依赖;
-
多形态拓展加载器:acset.ps1、acset_addon.ps1、loader.vbs、payload.hta,实现多渠道绕过终端策略拦截;
-
专项窃密模块:allcoins.py数字货币窃取、cliptest/dbclip系列剪贴板劫持、ccu.py邮件信息抓取模块;
-
社会工程诱饵套件:Q1_Report.pdf系列压缩包、HTML、快捷方式,伪装季度报表用于钓鱼投送。
二、完整闭环攻击链路精细化还原
2.1 投送阶段:多载体钓鱼伪装投放
攻击者依托伪装为企业财报的Q1_Report报表诱饵文件进行社会工程学攻击,搭配BAT、PS1、VBS、HTA多格式入口脚本,且全部脚本命名伪装为Windows系统主题维护、系统服务程序,规避用户警惕与基础安全筛查。多载体设计可适配不同终端组策略限制,规避单一脚本被拦截的问题,大幅提升入侵成功率。
2.2 落地阶段:四层自适应Python环境部署
受害者执行加载脚本后,程序通过 curl -sk 强制关闭SSL证书校验,无视证书风险静默下载远端svc32.py至系统TEMP临时目录。脚本内置四层优先级适配逻辑,全自动适配所有Windows终端环境:优先读取系统隐藏主题缓存目录的持久化Python环境、检索系统全局安装的Python3.9–3.14版本、复用历史缓存便携环境、无环境则自动下载服务端py.zip解压部署,最终以无窗口后台模式启动恶意Python脚本。
2.3 对抗阶段:反调试、反沙箱免杀规避
svc32.py启动后优先执行安全环境检测:一是调用Windows内核API判定调试器附加状态,若处于调试分析环境则随机休眠300–600秒后退出;二是读取系统注册表特征,识别VMware、VirtualBox虚拟机与沙箱环境,命中分析环境后自动终止恶意流程。同时程序所有关键路径、函数名称均通过ASCII拼接隐藏,无明文特征,规避静态查杀。
2.4 驻留阶段:四重长效持久化机制部署
绕过环境检测后,样本部署多重开机自启机制,实现设备重启永久驻留:一是将自身复制至系统开机启动目录,伪装Adobe更新服务程序;二是写入HKCU注册表Run启动项;三是创建登录触发型计划任务,用户每次登录自动执行;四是依托恶意VERSION.dll实现进程劫持驻留,任意加载系统版本库的程序启动时均可自动拉起恶意载荷,四重机制互相兜底、难以彻底清除。
2.5 执行阶段:无文件内存落地、痕迹清除
持久化部署完成后,程序从攻击者WebDAV服务器拉取二级核心木马d32.py,通过compile+exec内存编译执行,不落地新文件,规避文件监控查杀。执行完成后自动判断自身路径,若位于系统临时目录则主动删除本体,彻底清除初始入侵痕迹,实现全程静默驻留。
2.6 控密阶段:定向窃密与远程可控
核心木马d32.py加载后,联动配套专项窃密模块,实现剪贴板支付凭证劫持、数字货币钱包信息窃取、邮件与办公敏感数据采集。同时依托匿名可读写服务器,攻击者可随时更新木马版本、拓展攻击模块,实现远程控制、内网横向渗透、批量数据窃取等高阶恶意行为。
三、核心可验证恶意风险事实
1. 成熟的反分析免杀体系:集成反调试、虚拟机沙箱检测、字符串加密、SSL校验绕过、内存无文件执行、自删除痕迹清除多重对抗能力,可有效规避主流杀毒、EDR与人工逆向分析。
2. 高强度多重持久化能力:依托启动目录、注册表、计划任务、DLL进程劫持四重驻留通道,单次感染即可实现永久驻留,常规重启、进程查杀无法清除威胁。
3. 全场景多渠道投放能力:覆盖BAT、PS1、VBS、HTA、DLL、Python六大执行载体,适配不同终端安全策略,突破系统脚本拦截与权限限制。
4. 可控的私有化载荷分发节点:攻击者持有公开匿名读写WebDAV服务,可随时迭代、更新、替换恶意组件,长期维持对失陷终端的控制通道。
5. 明确的黑产牟利攻击目标:专项开发数字货币窃取、支付凭证劫持、办公敏感数据抓取模块,攻击目的性极强,以盗取资产与涉密信息为核心诉求。
6. 全静默无感知运行特征:全程采用无窗口pythonw解释器、分离进程运行、屏蔽所有日志输出,终端用户无任何感知,隐蔽性极强。
三、研判结论
经多样本交叉验证、路径匹配、时间线核对与技术逻辑溯源研判:该公开WebDAV节点为一套专业化、模块化、持续迭代维护的Windows黑产窃密远控木马专属载荷分发服务器。攻击者自2026年6月下旬至7月上旬持续对全套攻击组件进行功能优化、免杀加固、适配升级,工具链架构完整、技术成熟、对抗性强,属于典型的商业化黑产攻击套件。
整套体系构建了“钓鱼投递—环境自适应加载—安全机制对抗—多重持久驻留—无痕迹执行—定向窃密远控”的完整攻击闭环,突破常规终端防护机制,具备长期潜伏、无感控密、持续迭代、横向扩散能力。终端一旦被植入该套恶意程序,将面临系统长期受控、数字货币资产被盗、办公涉密数据泄露、个人账号凭证被窃取的严重安全风险,可对个人终端、企业办公内网、涉密工作环境造成实质性、持续性的信息安全危害。
参考资源:http://46.101.XXX.XXX:8080/payload/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CyberOk CyberOk CyberOk《匿名WebDAV载荷服务器关联Windows窃密远控工具全链路研判分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论