一份日志揪出木马全链路:从 Excel 告警到攻击AI溯源实战
- 2026-05-11 11:19:25
本文还原一次真实的 Windows 端点AI日志取证过程,通过 8000+ 行 EDR 日志,逐步拆解一条以"腾讯会议"为诱饵的木马攻击链。
前言
收到一份名为 20260204_171209.xlsx 的日志文件,来自某企业终端的 EDR(端点检测与响应)系统。文件共 8737 条进程事件记录,记录了一台 Windows 主机在特定时间窗口内的所有进程行为。
任务很简单,只有四个问题:
1. 这台机器中了什么病毒? 2. 日志中有一个伪装成腾讯产品的软件,找出来 3. 未签名进程共有多少个? 4. 名字以 3开头的异常 exe 是什么?
听起来是 CTF 题,但背后是一条完整的 APT 级攻击链。
一、认识日志结构
拿到 Excel 文件,第一步是搞清楚数据长什么样。用 Python 的 openpyxl 库解析:
import openpyxl
wb = openpyxl.load_workbook("日志查询 20260204_171209.xlsx")
ws = wb.active
headers = [cell.value for cell in ws[1]]
print(headers)输出 19 列字段:
事件类型 | 事件子类型 | 时间 | 进程用户名 | 进程ID | 进程名
进程映像路径 | 进程文件签名 | 进程SHA1值 | 目标进程PID
进程事件文件路径 | 目标进程文件签名 | 文件SHA1值 | 文件类型
文件大小 | 上次修改时间 | 创建时间 | 最后访问时间 | 进程命令事件类型分布:
| 远程线程创建 | 1(高危) |
整个日志里只有 1 条远程线程创建事件 — 这是进程注入的强烈信号,标记重点。
二、第一个异常:可疑签名机构
对 进程文件签名 字段做唯一值枚举:
signers = set(row[7] for row in data if row[7])结果里出现了一个刺眼的名字:
Guangzhou TEC Solutions Co., Ltd.(广州某科技公司)
该机构签名的两个 DLL 被 TiWorker.exe(Windows 更新组件)加载:
winncap364.dll | C:\Windows\System32\ | b5506ffd4691d3c4859282a8f5a33f551a495b15 |
dtsframe64.dll | C:\Windows\System32\ | 43e95e065c314ec8a63f3e4104712b4663f7569f |
这两个 DLL:
• 创建时间 2025-12-28(早于日志记录时间,说明是预置的)• 放在 System32目录下伪装系统文件• 由 TiWorker.exe这个合法 Windows 进程加载
这是经典的 DLL 劫持(DLL Hijacking)持久化手法。
三、伪造软件
过滤所有出现 Tencent 关键词的进程路径,发现两类:
正版:
C:\Program Files\Tencent\WeMeet\WeMeet.exe
签名:Tencent Technology (Shenzhen) Company Limited伪造:
C:\Users\Administrator\Downloads\TencentttMeeti5681\TencentttMeeti5681.exe
签名:None(无签名)注意名字:TencentttMeeti5681
• 正版是 TencentMeeting或WeMeet• 伪造版多了两个 t(typosquatting 打字错误仿冒),加上随机数字5681• 无任何数字签名 • 在日志中出现 17 次
答:伪造腾讯软件 = TencentttMeeti5681.exe
四、未签名进程数量
unsigned = [row for row in data if not row[7]] # 进程文件签名为空
print(len(unsigned)) # → 335答:未签名进程共 335 个
排名 Top 8(含恶意样本标注):
| TencentttMeeti5681.exe | 17 | 恶意 |
| II-10.exe | 7 | 恶意 dropper |
| II-1.exe | 3 | 恶意 dropper |
五、3 开头的异常 exe
过滤进程名以 3 开头的条目:
suspicious = [row for row in data if str(row[5]).startswith("3")]命中:3Fv6Bsq.exe
C:\Users\Administrator\Documents\NCElSz\c8XAtk\3Fv6Bsq.exe | |
be6316f0906fed16e477d0eca5bb07919fea25bc | |
"...\NCElSz\c8XAtk\3Fv6Bsq" | |
| 未收录 |
路径中 NCElSz\c8XAtk 是随机生成的嵌套目录 — 这是 RAT 植入的标准操作,避免路径特征被规则命中。
答:3 开头的异常 exe = 3Fv6Bsq.exe
七、到底中了什么病毒?
前面四个问题的线索拼在一起,攻击链全貌浮出水面:
[用户下载]
TencentttMeeti5681.exe(伪装腾讯会议安装包)
│
├─→ TencentMeeting_x86_64.exe(真实安装包,作为诱饵启动)
│
├─→ II-1.exe(InnoSetup 打包的 dropper #1)
│ └─→ II-1.tmp 解包
│ └─→ 释放 3Fv6Bsq.exe 到 Documents\NCElSz\c8XAtk\
│ ├─→ 旁加载 TAuxMod64.dll(DLL Sideloading)
│ └─→ 打开 Edge elevation_service.exe(提权)
│
└─→ II-10.exe(InnoSetup 打包的 dropper #2)
└─→ II-10.tmp 解包
└─→ 写入 C:\inetpub\wwwroot\rMmZhp\ewWB4p\g36Q6KT
(IIS WebShell,建立持久化)攻击行为特征总结:
3Fv6Bsq.exeTAuxMod64.dll 执行恶意代码 | |
elevation_service.exe 进行权限提升 | |
winncap364.dlldtsframe64.dll 注入 TiWorker.exe | |
NCElSz\c8XAtk\rMmZhp\ewWB4p\ 规避路径特征检测 |
答:银狐。
七、总结
TencentttMeeti5681.exe | |
| 335 个 | |
3Fv6Bsq.exebe6316f0906fed16e477d0eca5bb07919fea25bc) |
八、防御建议
1. 不要从非官方渠道下载软件,尤其是企业通讯工具(腾讯会议、钉钉、飞书) 2. 开启 EDR 未签名进程告警,335 个未签名进程中有多个恶意样本 3. 监控随机命名目录, Documents\下出现随机字符串路径应立即告警4. IIS 目录写入监控,非部署操作写入 wwwroot是高危信号5. DLL 签名白名单, System32中出现第三方签名 DLL 须严格审查
分析工具:Python
openpyxl、ctf-forensics 分析框架、进程树溯源、签名异常枚举声明:本文所有分析均在授权环境下进行,样本已提交至相关安全团队处理。
如果这篇文章对你有帮助,欢迎转发给你的安全团队。
