HW2025_攻击样本阶段性分析总结 conv.docxVIP

1

HW2025攻击样本阶段性分析总结

2025/07/18

演练概要

截至当前，演练已经过半，通过对当前收集的样本进行分析发现，攻击方战术体系呈现基础设施

定制化、技术载体高对抗、攻击设施隐蔽化等特征。在初始访问阶段投递诱饵文件，通过构建高度契

合目标业务的命名逻辑，伪装相关文档图标提升攻击成功率。在攻击框架层，CobaltStrike仍为主流

载体，但自研木马框架占比持续扩张，凸显攻击者向私有化、低特征的战略迁移。技术栈层面，

Rust/Go语言成为高对抗样本的技术标杆，其内存安全与跨平台特性驱动木马实现持久化驻留及反检

测能力跃迁，同步催生“总量精简而复杂度跃升”的样本生态——中高难度载荷通过多阶段载荷解

密、反沙箱、反调试等深度对抗技术，显著提升防御方分析门槛。

样本趋势分析

诱饵文件

攻击者在诱饵文档的命名上表现出高度的针对性。样本名称常嵌入“项目”“公司”“信息”

等关键词，紧密关联目标用户的日常工作或兴趣领域，显著提升了文档的可信度与诱惑力。例如，

“[公司名称]项目计划书.docx”这类命名精准模仿了真实业务文件，极易诱导用户点击。

此外，攻击者还偏好使用“举报”“薪资”“材料”等敏感字段。这类词汇能有效激发用户的好

奇心或紧迫感，进一步推高点击率。

在视觉伪装层面，攻击者普遍采用图标欺骗技术，将木马文件图标伪装成常见的Word、Excel

或PDF文档图标。这种伪装导致用户仅凭图标外观难以辨别真伪，尤其在疏忽文件扩展名的情况

下。一旦用户误信图标点击打开，木马即被触发执行，达成攻击目的。

基于当前收集的诱饵文件名数据，我们生成了反映高频关键词分布的词云图，并列出了受攻击最

严重的行业分布（如下图所示）：

2/

13

加载器语言

本次攻防演练中，加载器语言选择呈现出新动向：采用Rust和Go编写的木马及加载器数量

显著增加。这一趋势与近年来Rust和Go开源项目（尤其是Rust）的蓬勃兴起密切相关，使得攻

击者能够更便捷地获取和利用现成的代码框架，大幅降低开发成本并提升效率。

得益于Rust和Go的固有特性，其编写的木马程序具备更强的反检测能力，且在运行过程中

表现更为稳定，不易崩溃或产生异常行为。这种稳定性显著延长了木马在目标系统中的潜伏周期，为

其持续窃取信息或执行其他恶意操作提供了条件。

此外，Rust和Go优秀的跨平台能力，使得攻击者能够轻松生成适配多种操作系统的统一木马

代码，极大地扩展了攻击覆盖面并提高了攻击成功率。

3/

13

新增C2框架

本次攻防演练中，C2（CommandandControl）框架的应用呈现出显著变化。虽然成熟的

CobaltStrike（CS）框架仍被广泛采用，但自研木马框架的占比持续攀升，反映出攻击者对更隐蔽、

更具针对性攻击手段的追求。

相较于通用框架，自研木马框架具备显著优势：一方面，能更有效地规避传统安全检测机制；另

一方面，可针对特定目标环境进行深度定制开发，从而显著提升攻击成功率。

本次演练中即有多起攻击事件佐证了这一趋势：攻击者利用自研的KTLV木马框架，结合特定漏

洞进行传播，成功渗透目标内部网络实施远程控制。

KTLV木马

SHA256 1387b1efeb8ff69a093efe97384f8a372117cdd456915995c39d1022b3f8662b样本名称 nginx

样本大小1.72MiB样本类型LinuxELF

功能描述 连接远程C2地址，进行控制沙箱检测结果如下：

4/

13

使用DIE工具检测发现该样本未加壳。

查看相关字符串，可以看到RUST相关字符串。

5/

13

对样本进行分析，首先有收集系统信息的行为，具体包含括主机名、CPU信息、磁盘信息等。

如获取主机名和CPU使用情况：

然后解密相关配置文件，并通过配置文件中的connect和secert利用Base64+AES解密出最

后的C2。

6/

13

连接C2地址6:25进行远程控制，其功能包括文件管理、远程Shell等。

基于样本特征进行拓线分析，发现了HW期间存在大量的同源样本，此外，对该样本进行分析过

程中，发现该样本与友商披露工具KTLVDoor高度相似，故而微步暂时沿用该名称命名该特马。

1、解密配置参数和通信参数高度相似。

7/

13

2、代码采取高强度混淆进行反分析对抗。

3、样本均存在跨平台样本(Linux,windows)，且均冒充工具类名称。

Wjc2特马

SHA256 38910aeb216fa4c8456b901da0c66df93b40c06