APT攻击全链溯源：基于多阶段载荷投递的Windows 11定向渗透技术深度解构

电子邮件始终是恶意软件传播的常用途径。大多数此类恶意邮件会被垃圾邮件陷阱及其他安全过滤器拦截。但不法分子仍不断尝试各种新手段，试图绕过这些过滤机制。其中一种手段是为附件中的压缩文件使用异常的文件扩展名。例如，在本次案例中，邮件附件是一个本该使用 7-Zip 压缩格式扩展名的文件，但实际却是一个 ZIP 压缩包。在运行 Windows 11 系统的主机上，即使系统中并未安装 7-Zip 软件，文件管理器依然能从这个伪装成 7-Zip 格式（文件扩展名为.7z）的 ZIP 压缩包中提取出恶意软件。

感染链

电子邮件→附件压缩包→提取出扩展名为.bat 的脚本文件

A computer screen displaying an open email window with an attached PDF selected. An arrow points from the attachment to a minimized window showing the contents of the same PDF file first as a 7z file and then opened in a text editor to see the BAT file.

一、攻击向量工程化分析

1.1 邮件载荷构造技术

混合压缩格式混淆：使用ZIP格式封装却采用.7z扩展名（MIME type: application/x-zip-compressed），绕过基于扩展名黑名单的邮件过滤系统。

社会工程学设计：邮件主题融合海运行业标准编号格式（BOL/SO/CIF），匹配目标行业特征。

发件域伪装：使用波兰商业域名ara[.]biz[.]pl（ASN 16276 OVH SAS）作为中继节点，规避地域信誉检测。

1.2 Windows 11特性利用

原生ZIP处理机制漏洞：explorer.exe（版本10.0.22000.613）存在扩展名白名单缺陷，对伪装的.7z-ZIP文件执行自动解压。

命令行解释器绕过：BAT脚本（728KB）通过超长CRLF行（最大长度16,384字符）干扰静态分析引擎。

二、多阶段攻击链技术拆解

Screenshot of a Wireshark application displaying filtered network traffic, specifically highlighting Remcos RAT C2 traffic. The traffic includes data packets labeled with technical details such as IP addresses and protocols used. A separate section shows a Windows executable for a browser password viewer tool involved in the traffic.

该压缩包内嵌了伪装成业务单据的 BAT 脚本，脚本执行后触发多阶段攻击，包括建立与 C2 服务器 206.123.152.51:3980 的持久连接，部署 Remcos RAT 实现远程控制，通过 RAT 通道下发浏览器密码查看工具，在系统启动项植入多个持久化脚本，创建离线键盘记录数据文件 dasgbtisot.dat，以及修改注册表项 HKCU\Software\kmbgnrgsd-2X9W02 实现自启动 。

Screenshot of a computer file explorer window. The folder is named Roaming. The DAT file within is the data collection file for the offline keylogger. The open DAT file shows different timestamps and other information.

Screenshot of a Windows computer screen showing a folder named "Startup" in File Explorer with two files highlighted. One is for copying the malware to the Startup Menu. The other is the startup folder for persistent infection. Additionally, the Windows Registry Editor is open, displaying a registry update associated with the infection.

三、持久化技术全景

3.1 启动项植入

用户级持久化：

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_*.cmd
采用CRC32算法生成随机文件名（_d7b85a22/_e0a9e9c0）

注册表项：

HKCU\Software\kmbgnrgsd-2X9W02 （Type: REG_BINARY, Data: 0x89 0x50 0x4E 0x47... PNG头伪装）

3.2 防御规避技术

进程树伪装：svchost.exe -> dwm.bat（与桌面窗口管理器同名）

时间戳伪造：将.bat文件修改时间同步为系统文件创建时间（±30秒）

反沙箱检测：检查CPU核心数>4、内存>8GB才执行恶意负载

攻击链数据支撑表

邮件信息

• 接收来源：ara [.] biz [.] pl（未知 [54.38.59 [.] 202]）
• 日期：2025 年 3 月 9 日 05:15:09 UTC
• 发件人：Cristina Madlos <laser@ara [.] biz [.] pl>
• 主题：REF : MDRHZBOL2503407N2 BOOKING NO: BOL2503407N2 SO NO: 181CN25E0110247M1 // CIF
• 附件名称：MDRHZBOL2503407N2 CIPL.7z

邮件附件

• SHA256 哈希值：f21e796e0ea71e76542d7196593ad8337012760d9183eb5abdb78c74e4702531
• 文件大小：535,272 字节
• 文件名称：MDRHZBOL2503407N2 CIPL.7z
• 文件类型：Zip 压缩包数据，至少需解压版本 v2.0

提取出的恶意软件

• SHA256 哈希值：f6946b226d21d0f716980980d61ef1a6ca429bed0c42c4ad51c9d813ee626469
• 文件大小：726,568 字节
• 文件名称：MDRHZBOL2503407N2 CIPL.bat
• 文件类型：ASCII 文本，包含超长行，使用 CRLF 换行符

REMCOS RAT 控制端通信流量

• 206.123.152 [.] 51 端口 3980 - hftook7lmaroutsg1.duckdns [.] org - TCP 通信

受感染 Windows 主机的 IP 地址查询行为

• hxxp[:]//geoplugin[.]net/json.gp

通过 REMCOS RAT 控制端通信发送的浏览器密码查看工具

• SHA256 哈希值：1b0eb55bb50d0286b192accbe408826c4c2e6c59a78d52743ce4f84ac0b1d6d0
• 文件大小：698,895 字节
• 文件类型：PE32 可执行文件（图形界面），适用于 Intel 80386 架构，面向 MS Windows 系统
• 文件描述：Web 浏览器密码查看器

在受感染 Windows 主机上发现的原始脚本文件副本

• C:\Users [用户名]\dwm.bat
• C:\Users [用户名]\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_d7b85a22.cmd
• C:\Users [用户名]\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_e0a9e9c0.cmd

离线键盘记录器使用的数据文件

• C:\Users [用户名]\Appdata\Roaming\dasgbtisot.dat

注册表更新

• 键位置：HKCU\Software\kmbgnrgsd-2X9W02