信息来源:The EAGERBEE backdoor may be related to the CoughingDown actor | Securelist (2025年1月6日)
一、事件概述:一个“无文件、纯内存”的高级后门
在高级持续性威胁(APT)的世界中,攻击者正越来越多地采用“无文件攻击”(Fileless Attack)和“内存驻留”(Memory-Resident)技术,以规避传统安全产品的检测。EAGERBEE 就是这样一个典型的例子。
EAGERBEE 是一个高度隐蔽的后门框架,其核心组件从不完整写入磁盘,而是通过合法系统服务(如 IKEEXT、SessionEnv)加载到内存中运行。它不仅能绕过杀毒软件,还能通过注入 explorer.exe 等正常进程来隐藏其命令行活动,实现“隐身式远程控制”。
该后门自2022年起活跃,主要针对:
- 中东地区的互联网服务提供商(ISP);
- 政府机构;
- 东亚地区的大型企业。
卡巴斯基在调查中发现,EAGERBEE 不仅技术成熟,还可能与另一个名为 CoughingDown 的威胁组织存在关联,暗示其背后可能是一个具备国家级能力的攻击团伙。
二、攻击路径:从漏洞利用到服务注入
1. 初始入侵:ProxyLogon 漏洞的“长尾效应”
在东亚地区的攻击案例中,EAGERBEE 的初始入侵路径被确认为 ProxyLogon 漏洞(CVE-2021-26855)。
- 攻击者利用该 Exchange 服务器漏洞,无需身份验证即可在目标系统上执行任意代码;
- 随后上传WebShell,获得远程命令执行权限;
- 通过 WebShell 部署 EAGERBEE 的“服务注入器”(Service Injector)和载荷文件。
📌 警示意义:
尽管 ProxyLogon 漏洞已公开多年,但仍有大量未修复的系统成为攻击跳板,体现了“旧漏洞,新威胁”的长期风险。
2. 持久化机制:利用系统服务实现隐蔽驻留
EAGERBEE 的持久化策略极为精巧,它不依赖注册表自启或计划任务,而是通过劫持合法系统服务来实现长期潜伏。
攻击流程如下:
- 部署服务注入器(如
tsvipsrv.dll或wlbsctrl.dll); - 利用
SessionEnv或IKEEXT服务加载该 DLL; - 注入器在内存中解密并加载 EAGERBEE 后门;
- 执行完毕后,清理内存中的注入代码,恢复服务原状。
🔍 技术亮点:
这些服务本身是 Windows 合法组件,其 DLL 文件签名有效,因此能绕过大多数 EDR 的白名单检测。
三、核心组件:模块化后门与插件协同
1. EAGERBEE 后门:轻量级、高隐蔽
当被发现时,该后门常被命名为 dllloader1x64.dll,其行为特征如下:
- 收集系统信息:主机名、操作系统版本、IP地址、处理器架构等;
- 支持时间触发:可配置在特定时间段运行(如
0-6:00:23表示周一至周日的0:00–23:59); - 配置存储方式灵活:
- 可硬编码在二进制中;
- 或存于
C:\Users\Public\iconcache.mui,使用单字节 XOR(密钥0x57)加密。
2. 通信机制:支持代理与SSL加密
EAGERBEE 具备高度适应性的网络通信能力:
- 自动检测代理设置:读取注册表
Internet Settings\ProxyServer,若存在则通过代理连接C2; - 支持IPv4/IPv6:确保在不同网络环境下均可通信;
- SSL加密通信:若C2端口以“s”结尾(如
443s),则启用 SCHANNEL 安全包建立 TLS 连接; - 支持主动/被动模式:可验证服务器证书或使用客户端凭据进行身份认证。
3. 插件协调器(Plugin Orchestrator):真正的“大脑”
EAGERBEE 本身只是一个“引导程序”,其真正功能由一个名为 Plugin Orchestrator 的 DLL(内部名为 ssss.dll)提供。
关键技术点:
- 后门不直接将插件映射到内存,而是获取其导出函数
m的原始地址并直接调用; - 插件本身未被加载,因此传统内存扫描难以发现;
- 插件功能模块化,支持动态扩展。
4. 功能插件:六大核心能力
卡巴斯基识别出多个插件,可归为以下六类:
| 插件类别 | 功能说明 |
|---|---|
| 文件系统操作 | 浏览、下载、上传、删除文件;支持通配符过滤(如排除.mp3,.dll) |
| 远程访问管理 | 执行命令行、启动交互式Shell |
| 进程探测 | 列出运行中的进程,寻找高权限目标 |
| 网络连接列表 | 获取当前网络连接状态,识别内网拓扑 |
| 服务管理 | 查询、启动、停止系统服务 |
| 横向移动支持 | 使用net use命令连接共享资源,用WinRAR打包窃取数据 |
🔍 典型横向移动命令示例:
rar.exea -v100M idata001.rar -ta"20240101000000" -r -x"*.mp3" -x"*.dll" ... "\\172.17.1.127\c$\Users\<<user>>\Documents"攻击者使用时间戳
20240101掩盖真实操作时间,极具欺骗性。
四、攻击目标与归因分析
✅ 受害者画像:
- 中东:ISP、政府机构;
- 东亚:通过 ProxyLogon 入侵的企业;
- 共性:均为拥有大量网络资源和用户数据的关键基础设施。
🔍 攻击动机推测:
- 长期监控:通过ISP节点获取大规模网络流量;
- 供应链渗透:以ISP为跳板,攻击其下游客户;
- 数据窃取:针对政府和企业进行情报收集。
🔎 归因线索:与 CoughingDown 组织的关联
尽管卡巴斯基未完全确认,但多项证据指向 EAGERBEE 可能与 CoughingDown 组织有关:
| 证据 | 分析 |
|---|---|
| C2基础设施重叠 | EAGERBEE 与 CoughingDown Core Module(oci.dll)共用C2 IP(185.82.217[.]164) |
| 攻击时间与手法一致 | 均通过WebShell部署,且在同一时间段内利用相同服务(SessionEnv) |
| 编译时间接近 | 相关DLL的编译时间集中在2022–2023年 |
✅ 结论:卡巴斯基评估为“中等置信度”关联,表明两者可能为同一攻击团伙的不同分支,或存在技术共享。
五、防御难点与技术挑战
❗ EAGERBEE 的四大反检测技术:
| 技术 | 说明 |
|---|---|
| 内存驻留 | 主要组件不落地,规避文件扫描 |
| 服务劫持 | 利用合法服务加载,绕过白名单机制 |
| 插件延迟加载 | 核心功能不随主程序启动,降低IOC暴露风险 |
| 命令注入 | 在dllhost.exe或explorer.exe中执行命令,隐藏真实进程树 |
六、防御建议
✅ 企业应采取的措施:
| 措施 | 说明 |
|---|---|
| 立即修补 ProxyLogon 等历史漏洞 | 尤其是Exchange服务器,确保已打补丁 |
| 监控系统服务异常加载 | 关注IKEEXT、SessionEnv、MSDTC等服务加载非标准DLL |
| 启用内存行为监控 | 使用EDR/XDR检测DLL注入、内存解密等异常行为 |
| 限制WebShell风险 | 对服务器上传目录进行严格权限控制,禁止执行脚本 |
| 部署网络流量分析(NTA) | 检测与已知C2域名(如socialentertainments[.]store)的通信 |
| 定期审计共享资源访问 | 监控net use、WinRAR等命令的异常使用 |
✅ 个人用户建议:
- 不随意下载未知来源的文件;
- 使用可靠的安全软件;
- 定期更新系统和软件。
七、趋势洞察:APT攻击的“服务化”与“模块化”
EAGERBEE 的出现,标志着APT攻击正走向“框架化”和“服务化”:
| 趋势 | 表现 |
|---|---|
| 从“木马”到“框架” | EAGERBEE 是一个可扩展的后门平台,支持动态加载插件 |
| 从“单体”到“微服务” | 功能拆分为独立模块,按需加载,降低暴露风险 |
| 从“通用”到“定制” | 针对不同目标(ISP、政府)部署不同插件组合 |
这已不再是“一个病毒”,而是一个可编程的远程控制操作系统。
八、结语
EAGERBEE 的存在提醒我们:
今天的网络威胁,早已超越“病毒”或“木马”的范畴,而是一个精心设计的“数字幽灵”。
它不留下文件,却能在内存中自由穿梭;它不创建任务,却能通过系统服务永驻;它不直接攻击,却能通过插件实现无限扩展。
面对这类“无形之敌”,我们必须从“查杀已知”转向“监控异常、理解行为、预测路径”的主动防御范式。
唯有如此,才能在这场无声的战争中,守护我们的数字疆域。