一、 多模态诱捕介绍

近年来，网络攻防对抗技术持续演进升级，网络安全形态逐渐呈现多模态特征，安全对象和攻击技术多模态化，攻击的高隐蔽性、强对抗性、难以预判等特点愈发明显。

多模态诱捕针对多模态安全对象、多模态网络攻击特点，设计多类型的仿真、诱捕和分析方法，并基于AI进行有机融合来构建面向数字化时代、复杂业务场景的多模态仿真及攻击诱捕分析能力，以有效应对多模态组合攻击、高级未知隐蔽攻击。

多模态诱捕能够实现细粒度的精准仿真和定向诱捕，并与传统网络安全、数据安全技术能力形成协同，构建新型面向数字化时代的综合运营体系。

多模态诱捕技术架构如下图所示：

二、 文件诱捕分析

在多模态诱捕中，文件诱捕分析是其中重要组成部分。文件载荷作为文件诱捕分析的主要对象，在网络攻击过程中起到了至关重要的作用，文件载荷是攻击者实现攻击目标的核心载体，它通常包含恶意代码、漏洞利用程序、控制指令或攻击模块等关键内容，贯穿于攻击的初始入侵、权限扩张、目标达成等各个环节。其在攻击链的多个阶段都有着重要的作用。

1. 实现初始访问：突破目标系统防线

初始访问是攻击的第一步，而文件载荷是攻击者突破目标系统外围防线的主要工具，常见方式包括：

• 钓鱼诱导触发：通过钓鱼邮件附件（如恶意 Word、PDF、ZIP 文件）、伪装成正常软件的安装包（如捆绑恶意代码的 “破解版” 工具）等形式，诱使目标用户主动打开或运行。

• 漏洞利用载体：针对系统或应用程序漏洞（如 Office 漏洞、浏览器漏洞、操作系统漏洞）设计的文件载荷，可在用户打开文件时自动触发漏洞利用。

  
  

2. 执行恶意操作：建立攻击立足点

当文件载荷被触发后，其核心作用是在目标系统中执行预设的恶意行为，为攻击者建立初始控制权限，具体包括：

• 释放恶意程序：载荷可能是 “容器型” 文件（如加壳的 EXE、自解压包），执行后会释放真正的恶意程序（如木马、后门）到目标系统的临时目录或隐蔽位置，避免直接被检测。

• 运行攻击代码：载荷本身可能包含 shellcode、Python/JavaScript 等脚本代码，执行后直接发起攻击，包括：

• 远程连接攻击者的控制服务器（C2），建立反向 shell；

• 调用系统命令删除日志、禁用安全软件；

• 触发勒索软件的加密逻辑（如对用户文件进行 AES 加密）。

  
  

3. 支撑持久化控制：确保长期驻留

攻击者为避免单次入侵后失去对目标的控制，会通过文件载荷实现持久化，常见手段包括：

• 植入后门机制：载荷中可能包含创建持久化后门的代码，例如修改系统注册表（如添加启动项）、创建计划任务、安装恶意服务或修改系统配置文件等。

• 对抗清理机制：部分载荷会检测目标系统的安全清理行为（如杀毒软件扫描、系统还原），并通过隐藏文件（如利用 NTFS 流隐藏）、自我复制到多个位置等方式，避免被彻底清除。

  
  

4. 助力权限扩张与横向移动

在获取初始访问权限后，攻击者需进一步提升权限、扩大攻击范围，而文件载荷是实现这一目标的关键工具：

• 权限提升：载荷可以集成针对系统漏洞的提权模块，通过执行载荷中的提权代码，从普通用户权限升级为管理员或系统权限，获取对目标系统的完全控制。

• 横向移动：载荷可以包含内网扫描、远程攻击模块，例如通过 SMB 协议爆破、远程桌面入侵、WMI 命令执行等方式，向同一局域网内的其他主机扩散。在入侵一台主机后，会自动扫描内网其他存在漏洞的主机并重复攻击过程。

  
  

5. 实现核心攻击目标

文件载荷的最终目的是达成攻击者的核心诉求，常见场景包括：

• 数据窃取：载荷可能集成数据收集模块，例如键盘记录器（记录用户输入的账号密码）、文件扫描器（搜索并窃取文档、数据库备份）、屏幕截图工具等，并通过加密传输将数据发送至攻击者的 C2 服务器。

• 系统破坏：勒索软件的载荷是典型代表，执行后会通过加密算法对目标系统的关键文件（文档、图片、数据库）进行加密，并弹出勒索提示，迫使受害者支付赎金。此外，部分破坏性攻击的载荷还可能删除系统文件、格式化硬盘，直接摧毁目标系统的可用性。

• 远程控制：木马类载荷执行后会在目标系统中植入远程控制模块，攻击者可通过 C2 服务器向载荷发送指令，实现对目标系统的远程操作（如文件管理、命令执行、摄像头控制等），将目标变为 “肉鸡”。

  
  

6. 规避防御检测：提升攻击隐蔽性

为避免被安全设备（如杀毒软件、EDR）发现，现代文件载荷往往集成对抗检测的机制，这也是其重要作用之一：

• 代码混淆与加密：通过加壳（Packer）、混淆（Obfuscation）、加密（如 XOR 加密、AES 加密）等技术，隐藏自身的恶意特征，使静态特征检测失效。

• 行为伪装：载荷可能模仿正常程序的行为（如伪装成系统进程、使用合法端口通信），或延迟执行恶意操作（如等待特定时间、触发特定条件后才激活），规避动态行为分析的检测。

由此可见，文件载荷是网络攻击的“矛尖”，它既是攻击者突破防线的工具，也是实现权限控制、横向扩散、目标达成的核心载体，同时还承担着规避防御的功能。

吉幻•攻击诱捕防御与溯源系统(DecoyPro)支持多模态诱捕能力，支持快速构建多种诱捕环境对文件载荷进行诱捕，利用文件沙箱、静态特征、情报IOC、威胁模型等多种威胁分析手段对诱捕到的文件载荷进行深度剖析，能够发现常规手段无法检测的APT等高级威胁，可以有效提高系统的多模态攻击诱捕效率和高级威胁检测能力。

文件诱捕分析在整个系统架构图中的流程如下图所示：

三、 应用案例介绍

1. 基本信息

在近期正在进行的攻防演习活动中，部署在某客户处的吉幻产品向安全监控人员推送了一条高风险的文件诱捕告警通知，登录到管理平台查看告警内容和相关日志，掌握了此次攻击行为的完整过程，大概流程描述如下：

1、 攻击者利用仿真客户XX业务系统高交互蜜罐的漏洞获取系统权限；

2、 上传文件“XXXXXX集团数据中心云服务器配置参数”到系统桌面；

3、 吉幻诱捕到攻击者上传的文件，并上传管理端；

4、 管理端将文件送文件沙箱和威胁检测引擎进行威胁鉴定；

5、 文件沙箱鉴定结果为恶意；

6、 第一时间向安全监控人员推送了高风险的文件诱捕告警通知。

诱捕到的文件为exe可执行文件，大小 19MB，伪造成 PDF 文档引诱用户去点击执行，来实现对主机进行控制。

系统捕获的文件诱捕日志如下图所示：

诱捕文件送文件沙箱进行分析给出的鉴定结果：

2. 沙箱检测结果

吉幻系统中的文件沙箱对此样本文件进行了深度检测分析，识别到了多个关键的恶意行为，由于样本文件很新，传统的杀毒引擎都还不能有效检测。系统检测结果如下图所示：

文件沙箱动态分析图如下所示：

通过文件沙箱分析出来的网络连接行为如下图所示：

通过文件沙箱抓取的程序运行截图如下图所示：

3. 人工分析

对样本进一步进行人工分析和溯源。双击运行样本文件，会弹出一个 MessageBox，此消息框是用来迷惑被控主机，误以为程序没完全运行起来，点击确定后并没有结束程序，它还是在运行中。

接下来样本文件用一种特殊的方式对自身进行删除。

此样本采用了高精度 (NtDelayExecution) 延迟来实现 sleep

组装请求内容准备进行网络连接：

3.1 /token

以 GET 方式请求 URI /token

请求后返回的响应数据：

返回的 body 为一个 json 串：

{

    "rid": "4959b32defecb4e4",

    "status": 200,

    "token": "egb6E6D17WQVH2Y4NuVV8XpRnm3G0Apu9P7J6EzmW54LQ6o9cia9786G3PGaHfElPeGIOuZwQ9bwK82rQcZ28hnjDtKdO2IbuplJ5qAn3GtHZs1B1yOoqB1bWrLmzyWbWndJtHVt2ZlNZ9NXbqRwG+YIAXEK0WpHZQj08/x/atW6fBITZHjlvwIp3XiEkul5+Q8+a9s09ZcJ/XhvhXN1zyWswORPl6DuYqwnGEKnBAqctTxH461/wfu96PzvcnEy+3Q4KQdRLG8O9X8sFQv36nSPSECFCMa1YItHlm1YH99C0iz/HWT6WMxAA/FvdSw43XPiKBAiRCyhxvRdBRF54uIjfX4/2LF6gHd87G30C5k7i2ZKnyDUvHEXXtzFwnKl5MJ5D00GfI4vWDNtzshKsvshhoRFr9vIyzzTsadojZ7ToWbZEZ7f0R+BDf40spGTKEFyG3EttGSTJDqeJVZhRFF3mKyVzOgJ7PizswnZx9lwY88/uQYqpKpUonheDV1pHoL9Ll5CWXGaX0GZypsQK98TYpdhzGP8NkJFT/AF0WVFt5IqgmLaNyzexzedmJ8y1UfDz8kQDyZLoEaCXqKPY/HFnJ4D116ydEEWWnWPPX8n3ERXjZZgDT5cznCejsCQ",

    "timestamp": 1751868950

}

循环获取 JSESSIONID、csrf_token、sso_token

经过一系列计算得到 RSA Public Key：

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyUhOGjVHwrbx5qYWEy70v6yvo5FVWBNo7HXHBXFkK2t9Dao5blrMCUAzSrcVJDWXCS1ayLLrj2OXhO932Uu2doVAJ4QIcuo1Lt8/aTKJ64CyfRIWkqzI8x0txKzl7xOy76fj9hc+ccq39TM41B4lyPDBkS9pv/HzbQQ6f7kvaqQ2d74pNzWfOFaUm1tS/9ZfPnyxTNcqUGNMYsIXpDmOyWrSGZPziZ8/nga2oCtaXHll9C+RQAZXHqFc+fWu1Vmx/tqF833EFPi0iEDWhFeu7r3PwOHAv9gBWov6K/WbDKGp80LEEhFdj0ir9eDki2EohTgTCI2Y1tz7ii+8yIbHQQIDAQAB

-----END PUBLIC KEY-----

后续操作需要此 Key 加密发送内容，每次请求获取到的 token 不一样，但最终解密出来的 RSA Public Key 是一样的。

3.2 /check

请求 URI /check

POST 数据：

metadata 数据是用之前的 RSA Public Key 对数据加密，每次都不一样，检测被控机器是否还存活。

3.3 获取基本信息

获取主机IP：

获取用户计算机名称：

获取用户名称：

获取当前进程名称：

通过 WMI 获取操作系统名称、操作系统信息：

最后将获取到的数据打包成 json 格式：

将 json 格式数据加密后 POST 到 /update，远控上线获取被控机器的基本信息。

3.4 /update

将加密后的 json 数据 POST 到 /update

3.5 /report

将运行状态日志数据加密后 POST 到 URI /report

3.6 /log

不断请求 URI /log

人工分析时访问此连接返回 403，可能是由于限制了被控端的IP范围，导致无法获取返回的 json 数据。

3.7 PACS 资源

由于C2可能对连接IP范围做了限制，无法获取返回数据，因此未对 PACS 资源进行解密。

读取 PACS 资源 (6.87MB) 用 AES 解密，进一步解压生成一个名为 crashpad_handler.exe 程序并运行。

4. 溯源分析

虽无法获取此资源解密后数据，但结合系统诱捕的攻击日志和对样本文件的逆向分析，基本确定此文件是一个远控程序，根据远控通信 IP 对攻击进行溯源，溯源基本信息如下：