← 返回首页
微软揭秘:攻击者把企业监控工具变成隐形武器|微软|新系统|服务器|知名企业_手机网易网 网易 网易号
0

微软揭秘:攻击者把企业监控工具变成隐形武器

灰度测试中
灰度测试中
2026-05-16 03:54 ·北京
0

100多天里,攻击者没有触发任何警报。他们没有投放传统意义上的恶意软件,却完成了从初始入侵到凭证窃取、横向移动到建立持久后门的完整攻击链。

微软事件响应团队最近披露的一起案例,揭示了高端威胁的新范式:把企业环境中原本受信任的工具,变成攻击者的隐身衣。

打开网易新闻 查看精彩图片

入侵的起点是一家第三方IT服务提供商。攻击者从这里获得了初始访问权限,随后开始了一场极其克制的渗透行动。他们选择的主武器是HPE Operations Agent(OA)——一款被大量企业用于基础设施监控的合法工具。

微软在报告中特别强调:这次滥用并不涉及HPE OA本身的任何漏洞。问题恰恰在于,这款工具在目标环境中拥有完全合法、已被批准且广泛部署的访问权限。攻击者只是把它"武器化"了。

具体操作层面,攻击者利用HPE Operations Manager(HPOM)——由第三方服务商代管的企业管理平台——向多台服务器推送VBScript脚本。一个名为abc003.vbs的文件被分发到Web服务器和域控制器等关键节点,静默执行系统信息收集、网络测绘和Active Directory探测。

由于这些脚本运行在一个经过签名和批准的管理平台上,安全工具没有发出任何告警。

攻击者还在面向互联网的服务器上部署了名为Errors.aspx和修改版Signoff.aspx的Web Shell,构建起即使其他工具被发现清除后仍能存活的持久后门。

横向移动阶段,攻击者的手法同样瞄准"信任盲区"。他们在域控制器上注册了一个名为mslogon.dll的恶意网络提供程序DLL,挂钩Windows认证流程,每次用户登录或修改密码时,明文用户名和密码就被直接截获。

为了维持长期访问,攻击者使用ngrok建立隐蔽隧道。所有流量都流经受信任的管理通道,与日常管理操作完全融为一体。

从最初入侵到最终触发事件响应,整个活动持续了超过100天。期间攻击者遍历了域控制器、SQL服务器等敏感系统,完成了完整的凭证窃取和网络控制。

微软的分析师指出,这起案例标志着评估攻击者 sophistication 的标准正在发生根本转变。不再是看恶意软件的技术复杂度,而是看能在受信任环境中隐藏多久、多深。

对企业防御体系而言,这意味着一个棘手的挑战:当攻击者开始使用你自己的工具、你的信任链、你的管理通道时,传统的边界检测和恶意软件签名机制会系统性失效。识别异常行为,而非识别恶意文件,正在成为最后的防线。

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。
打开网易新闻体验更佳

热搜

热门跟贴

打开APP发贴
0条跟贴

相关推荐

回到顶部 回到首页