信息来源:The EAGERBEE backdoor may be related to the CoughingDown actor | Securelist (2025年1月6日)
一、事件概述:一个“无文件、纯内存”的高级后门
在高级持续性威胁(APT)的世界中,攻击者正越来越多地采用“无文件攻击”(Fileless Attack)和“内存驻留”(Memory-Resident)技术,以规避传统安全产品的检测。EAGERBEE 就是这样一个典型的例子。
EAGERBEE 是一个高度隐蔽的后门框架,其核心组件从不完整写入磁盘,而是通过合法系统服务(如 IKEEXT、SessionEnv)加载到内存中运行。它不仅能绕过杀毒软件,还能通过注入 explorer.exe 等正常进程来隐藏其命令行活动,实现“隐身式远程控制”。
该后门自2022年起活跃,主要针对:
中东地区的互联网服务提供商(ISP);
政府机构;
东亚地区的大型企业。
卡巴斯基在调查中发现,EAGERBEE 不仅技术成熟,还可能与另一个名为 CoughingDown 的威胁组织存在关联,暗示其背后可能是一个具备国家级能力的攻击团伙。
二、攻击路径:从漏洞利用到服务注入
1. 初始入侵:ProxyLogon 漏洞的“长尾效应”
在东亚地区的攻击案例中,EAGERBEE 的初始入侵路径被确认为 ProxyLogon 漏洞(CVE-2021-26855)。
攻击者利用该 Exchange 服务器漏洞,无需身份验证即可在目标系统上执行任意代码;
随后上传WebShell,获得远程命令执行权限;
通过 WebShell 部署 EAGERBEE 的“服务注入器”(Service Injector)和载荷文件。
📌 警示意义:
尽管 ProxyLogon 漏洞已公开多年,但仍有大量未修复的系统成为攻击跳板,体现了“旧漏洞,新威胁”的长期风险。
2. 持久化机制:利用系统服务实现隐蔽驻留
EAGERBEE 的持久化策略极为精巧,它不依赖注册表自启或计划任务,而是通过劫持合法系统服务来实现长期潜伏。
攻击流程如下:
部署服务注入器(如
tsvipsrv.dll或wlbsctrl.dll);利用
SessionEnv或IKEEXT服务加载该 DLL;注入器在内存中解密并加载 EAGERBEE 后门;
执行完毕后,清理内存中的注入代码,恢复服务原状。
🔍 技术亮点:
这些服务本身是 Windows 合法组件,其 DLL 文件签名有效,因此能绕过大多数 EDR 的白名单检测。
三、核心组件:模块化后门与插件协同
1. EAGERBEE 后门:轻量级、高隐蔽
当被发现时,该后门常被命名为 dllloader1x64.dll,其行为特征如下:
收集系统信息:主机名、操作系统版本、IP地址、处理器架构等;
支持时间触发:可配置在特定时间段运行(如
0-6:00:23表示周一至周日的0:00–23:59);配置存储方式灵活:
可硬编码在二进制中;
或存于
C:\Users\Public\iconcache.mui,使用单字节 XOR(密钥0x57)加密。
2. 通信机制:支持代理与SSL加密
EAGERBEE 具备高度适应性的网络通信能力:
自动检测代理设置:读取注册表
Internet Settings\ProxyServer,若存在则通过代理连接C2;支持IPv4/IPv6:确保在不同网络环境下均可通信;
SSL加密通信:若C2端口以“s”结尾(如
443s),则启用 SCHANNEL 安全包建立 TLS 连接;支持主动/被动模式:可验证服务器证书或使用客户端凭据进行身份认证。
3. 插件协调器(Plugin Orchestrator):真正的“大脑”
EAGERBEE 本身只是一个“引导程序”,其真正功能由一个名为 Plugin Orchestrator 的 DLL(内部名为 ssss.dll)提供。
关键技术点:
后门不直接将插件映射到内存,而是获取其导出函数
m的原始地址并直接调用;插件本身未被加载,因此传统内存扫描难以发现;
插件功能模块化,支持动态扩展。
4. 功能插件:六大核心能力
卡巴斯基识别出多个插件,可归为以下六类:
🔍 典型横向移动命令示例:
rar.exea -v100M idata001.rar -ta"20240101000000" -r -x"*.mp3" -x"*.dll" ... "\\172.17.1.127\c$\Users\<<user>>\Documents"攻击者使用时间戳
20240101掩盖真实操作时间,极具欺骗性。
四、攻击目标与归因分析
✅ 受害者画像:
中东:ISP、政府机构;
东亚:通过 ProxyLogon 入侵的企业;
共性:均为拥有大量网络资源和用户数据的关键基础设施。
🔍 攻击动机推测:
长期监控:通过ISP节点获取大规模网络流量;
供应链渗透:以ISP为跳板,攻击其下游客户;
数据窃取:针对政府和企业进行情报收集。
🔎 归因线索:与 CoughingDown 组织的关联
尽管卡巴斯基未完全确认,但多项证据指向 EAGERBEE 可能与 CoughingDown 组织有关:
✅ 结论:卡巴斯基评估为“中等置信度”关联,表明两者可能为同一攻击团伙的不同分支,或存在技术共享。
五、防御难点与技术挑战
❗ EAGERBEE 的四大反检测技术:
六、防御建议
✅ 企业应采取的措施:
✅ 个人用户建议:
不随意下载未知来源的文件;
使用可靠的安全软件;
定期更新系统和软件。
七、趋势洞察:APT攻击的“服务化”与“模块化”
EAGERBEE 的出现,标志着APT攻击正走向“框架化”和“服务化”:
这已不再是“一个病毒”,而是一个可编程的远程控制操作系统。
八、结语
EAGERBEE 的存在提醒我们:
今天的网络威胁,早已超越“病毒”或“木马”的范畴,而是一个精心设计的“数字幽灵”。
它不留下文件,却能在内存中自由穿梭;它不创建任务,却能通过系统服务永驻;它不直接攻击,却能通过插件实现无限扩展。
面对这类“无形之敌”,我们必须从“查杀已知”转向“监控异常、理解行为、预测路径”的主动防御范式。
唯有如此,才能在这场无声的战争中,守护我们的数字疆域。