# 僵尸网络自检 — 多维度分析框架
> 版本:v1.0 | 日期:2026-07-14
> 核心理念:同一个"僵尸网络感染"问题,从不同维度切入,能看到不同的检测盲区
> 每个维度 = 一种思维方式,交叉使用才能全覆盖
---
## 维度总览
| 编号 | 维度 | 核心问题 | 一句话概括 |
|------|------|---------|-----------|
| D1 | 感染路径维度 | 设备是怎么被感染的? | 从"因"出发追"果" |
| D2 | 攻击生命周期维度 | 攻击走到了哪一步? | 沿攻击链逐环节排查 |
| D3 | 僵尸节点角色维度 | 被控后干了什么活? | 从"用途"反推特征 |
| D4 | 技术栈层级维度 | 藏在哪一层? | 从固件到应用逐层扫描 |
| D5 | 时间线维度 | 什么时候被感染的? | 建立时间轴定位入侵点 |
| D6 | 用户行为偏差维度 | 什么变了? | 对比正常状态找异常 |
| D7 | 攻击者目的维度 | 为什么选中这台设备? | 从动机反推行为特征 |
| D8 | 证据链关联维度 | 谁产生的?关联到谁? | 一条线索牵出整条链 |
| D9 | 用户场景维度 | 这台设备是什么角色? | 不同用户不同检测策略 |
| D10 | 检测深度维度 | 查多深? | 从签名到行为到内存到情报 |
---
## D1. 感染路径维度
> 核心思路:先判断设备最可能是通过哪条路径被感染的,再针对性检查该路径留下的痕迹
> 每条感染路径都有独特的"指纹"
### 10 条主要感染路径及其检测要点
#### 路径 1:钓鱼邮件 → 附件/链接
**感染过程**:用户收到伪装邮件 → 打开附件(Office 宏/LNK/HTA/ZIP)→ 执行恶意代码 → 落地持久化
**该路径特有检测点:**
- 邮件客户端 PST/OST 文件中的可疑附件历史
- Office 最近打开文档记录(注册表 `RecentDocs`)
- Office 宏安全策略是否被降级
- Outlook 规则是否被篡改(启动宏/转发邮件)
- `%TEMP%` 目录中从邮件附件释放的文件
- LNK 文件分析(快捷方式指向可疑路径)
- Office Trusted Locations 是否被添加恶意路径
**搜索关键词:**
- "phishing email attachment forensics Windows"
- "Office macro persistence detection"
- "Outlook rules hijack detection"
- "LNK file malicious analysis tools"
---
#### 路径 2:破解软件/游戏外挂 → 捆绑木马
**感染过程**:下载破解版软件/外挂/激活工具 → 安装时捆绑执行 → 后台驻留
**该路径特有检测点:**
- 已安装软件的数字签名验证(未签名/签名无效/自签名)
- 软件安装历史(注册表 `Uninstall` 键、`App Paths`)
- 下载目录(Downloads)中的可疑安装包
- KMS 激活工具/破解补丁残留(常见捆绑载体)
- 外挂/辅助工具进程(常见于游戏玩家设备)
- 软件来源 URL 追溯(浏览器下载历史)
- PE 文件资源节中的捆绑 payload 检测
**搜索关键词:**
- "cracked software bundled malware detection"
- "PE file embedded payload detection"
- "software supply chain compromise indicators"
- "unsigned executable Windows audit"
---
#### 路径 3:驱动下载(Drive-by Download)
**感染过程**:访问被植入 exploit kit 的网页 → 浏览器/插件漏洞被利用 → 后台静默下载执行
**该路径特有检测点:**
- 浏览器历史记录中的可疑 URL(已知 EK 分发域名)
- 浏览器缓存中的可执行文件/ShellCode
- Flash/Java/浏览器插件版本漏洞匹配
- IE/Edge 保护模式是否被绕过
- 浏览器下载记录中的未授权下载
- 浏览器扩展程序审计(恶意扩展 = 轻量僵尸节点)
- Hosts 文件是否被篡改重定向到恶意站点
**搜索关键词:**
- "drive-by download forensics browser artifacts"
- "exploit kit detection browser history"
- "malicious browser extension botnet detection"
- "browser cache malware analysis"
---
#### 路径 4:RDP 暴力破解 → 投递
**感染过程**:攻击者扫描 3389 端口 → 暴力破解弱口令 → 登录后投递恶意软件
**该路径特有检测点:**
- Windows 安全日志 Event ID 4625(登录失败暴增)
- Windows 安全日志 Event ID 4624(登录类型 10 = RemoteInteractive)
- RDP 连接历史(注册表 `Terminal Server Client\Default`)
- 可疑 IP 的 RDP 登录记录
- `jmp` 跳板机检测(RDP 会话是否被中转)
- NLA(网络级别身份验证)是否被禁用
- 3389 端口是否暴露在公网
- 登录后短时间内新增的进程/文件
**搜索关键词:**
- "RDP brute force detection Windows event log"
- "RDP session hijacking forensic analysis"
- "Event ID 4625 4624 botnet infection"
- "RDP login anomaly detection"
---
#### 路径 5:USB / 移动存储
**感染过程**:插入被感染的 U 盘 → AutoRun 或快捷方式漏洞触发 → 恶意代码执行
**该路径特有检测点:**
- USB 设备连接历史(注册表 `USBSTOR`、`USB` 键)
- AutoRun 配置是否被禁用
- USB 设备中的隐藏文件/快捷方式
- `Autorun.inf` 文件残留检测
- LNK 快捷方式指向可疑路径(利用文件夹图标伪装)
- 可移动磁盘上的可执行文件
- USB 设备序列号与已知恶意设备匹配
**搜索关键词:**
- "USB malware forensic analysis Windows"
- "Autorun.inf detection USB infection"
- "USB device history registry forensic"
- "LNK shortcut USB malware detection"
---
#### 路径 6:软件供应链攻击
**感染过程**:npm/pip/winget 包被投毒 → 正常安装流程中执行恶意代码 → 持久化
**该路径特有检测点:**
- pip 安装历史(`pip list` + 安装时间戳)
- npm 全局包审计(`npm ls -g`)
- Python 包 `__init__.py` 中的可疑代码
- 包安装脚本(setup.py/postinstall)中的可疑操作
- 软件更新源是否被篡改(HTTPS 证书验证)
- 开发工具配置文件被修改(VSCode settings/.bashrc/.profile)
- 开发环境中新增的计划任务/服务
**搜索关键词:**
- "software supply chain attack detection endpoint"
- "npm pip malicious package detection"
- "development environment compromise indicators"
- "package manager malware audit tools"
---
#### 路径 7:路由器入侵 → 内网横向
**感染过程**:路由器弱口令/固件漏洞被利用 → DNS 劫持/中间人 → 替换下载内容
**该路径特有检测点:**
- 路由器管理页面是否可被外部访问
- DNS 服务器地址是否被篡改(非运营商 DNS)
- 路由器固件版本与已知漏洞匹配
- DHCP 分发的 DNS 是否异常
- HTTP 下载是否被劫持(对比预期哈希)
- ARP 表异常(ARP 欺骗痕迹)
- 路由器后台是否有未知管理员账户
- 路由器固件是否被替换(对比官方版本哈希)
**搜索关键词:**
- "router compromise detection home network"
- "DNS hijack detection Windows endpoint"
- "router firmware backdoor detection"
- "ARP spoofing MITM detection tools"
---
#### 路径 8:漏洞利用(无交互感染)
**感染过程**:攻击者利用系统/服务漏洞(如 EternalBlue/ProxyShell/SMB)→ 无用户交互直接执行
**该路径特有检测点:**
- 系统补丁状态检查(KB 编号与已知漏洞匹配)
- SMB 服务是否暴露(445 端口)
- Windows 远程漏洞利用痕迹(MS17-010 等)
- Exchange Server 漏洞痕迹(ProxyShell/ProxyLogon)
- Print Spooler 漏洞(PrintNightmare)痕迹
- 无文件 payload 在内存中的残留
- 漏洞利用后的进程创建链(如 svchost → cmd → powershell)
**搜索关键词:**
- "EternalBlue EternalRomance detection Windows"
- "ProxyShell ProxyLogon forensic artifacts"
- "PrintNightmare exploitation detection"
- "Windows vulnerability exploitation indicators"
- "patch status audit botnet prevention"
---
#### 路径 9:社交媒体/即时通讯 → 链接点击
**感染过程**:QQ/微信/Discord 收到钓鱼链接 → 点击下载 → 执行
**该路径特有检测点:**
- 即时通讯软件文件接收目录审计
- 浏览器从 IM 跳转的 URL 历史
- 下载目录中从 IM 来源的文件
- 剪贴板历史中的可疑 URL/命令
- IM 软件自动接收文件设置检查
- Discord/Telegram 下载目录
- 社交工程特征匹配(伪装文件名如"发票.docx.exe")
**搜索关键词:**
- "instant messaging malware delivery detection"
- "social engineering payload file naming patterns"
- "Discord Telegram malware distribution 2025"
- "QQ WeChat phishing detection"
---
#### 路径 10:合法软件被劫持(DLL 侧加载/更新劫持)
**感染过程**:合法软件加载恶意 DLL / 更新通道被劫持 → 在合法进程上下文中执行恶意代码
**该路径特有检测点:**
- 合法进程加载的非系统目录 DLL
- DLL 搜索顺序劫持检测(程序目录 vs System32)
- 已签名软件的更新通道完整性
- 合法进程的异常子进程(如 explorer.exe 启动 powershell)
- 签名验证:加载的 DLL 是否有有效签名
- KnownDLLs 注册表项是否被篡改
- 合法软件的网络连接是否异常(连接到非官方服务器)
**搜索关键词:**
- "DLL side loading detection Windows"
- "DLL search order hijacking forensic"
- "software update hijack detection"
- "signed process loading unsigned DLL detection"
- "KnownDLLs registry tampering detection"
---
### 感染路径维度总结
```
感染路径维度检测策略:
1. 先做"路径画像"——分析用户使用习惯,判断最可能的感染路径
2. 对每条可能路径执行该路径特有的检测项
3. 路径检测 + 通用检测(网络/进程/持久化)交叉验证
4. 多路径同时感染也要考虑(如先 RDP 破解 → 再投递钓鱼邮件)
```
---
## D2. 攻击生命周期维度
> 核心思路:沿 MITre ATT&CK Kill Chain 逐环节排查,攻击走到哪一步就留什么痕迹
### 7 个生命周期阶段及其检测要点
| 阶段 | ATT&CK 战术 | 检测要点 | 检测难度 |
|------|------------|---------|---------|
| 1. 初始入侵 | TA0001 Initial Access | 见 D1 感染路径维度 | ★★★☆☆ |
| 2. 执行 | TA0002 Execution | 命令行审计、PowerShell 日志、脚本执行记录 | ★★☆☆☆ |
| 3. 持久化 | TA0003 Persistence | 14+ 持久化位置全扫描 | ★★☆☆☆ |
| 4. 权限提升 | TA0004 Privilege Escalation | UAC 绕过痕迹、令牌窃取、提权漏洞利用 | ★★★☆☆ |
| 5. 防御规避 | TA0005 Defense Evasion | 见 S5 反检测专题 + 进程注入检测 | ★★★★★ |
| 6. C2 通信 | TA0011 Command & Control | 见 S1 C2 检测专题 | ★★★★☆ |
| 7. 行动目标 | TA0040 Impact | DDoS 流量/挖矿/垃圾邮件/数据外传 | ★★☆☆☆ |
### 每个阶段的深度检测项
#### 阶段 2:执行检测
- PowerShell 脚本块日志(Event ID 4104)
- PowerShell 命令行参数(编码命令/-enc/-w hidden)
- CMD 命令历史(DOSKEY/ConsoleHost_history.txt)
- WMI 方法调用痕迹
- 计划任务执行记录
- 服务启动记录(新增服务 + 启动时间)
- mshta/cscript/wscript/regsvr32 执行记录
- LOLBAS 全量滥用检测
#### 阶段 4:权限提升检测
- UAC 绕过痕迹(Event ID 4688 中的 auto-elevate 进程)
- 访问令牌操作痕迹(DuplicateTokenEx/ImpersonateLoggedOnUser)
- 提权漏洞利用(如 Potao/PrintNightmare/CVE-2021-1732)
- 新增本地管理员账户
- 管理员组变更(Event ID 4732)
- 服务权限变更
- SeDebugPrivilege 异常获取
#### 阶段 7:行动目标检测(僵尸节点角色特征)
| 角色 | 网络特征 | 系统特征 |
|------|---------|---------|
| DDoS 攻击节点 | 大量出站 SYN/UDP/ICMP 包 | CPU 正常但网络高占用 |
| 垃圾邮件中继 | 25/465/587 端口出站连接 | 大量 DNS MX 查询 |
| 加密货币挖矿 | 矿池端口(3333/4444/5555/14444)连接 | CPU/GPU 持续高占用 |
| 代理/中转节点 | 大量入站连接 + 转发出站 | 网络流量双向上传 |
| 凭据收集节点 | 少量 C2 心跳 + 数据上传 | LSASS 进程访问异常 |
| 扫描节点 | 大量 SYN 扫描出站(半开连接) | 短连接暴增 |
| 存储节点 | 大量入站数据传输 | 磁盘异常写入 |
**搜索关键词:**
- "MITRE ATT&CK botnet lifecycle detection"
- "ATT&CK kill chain endpoint forensic"
- "botnet DDoS spam mining proxy detection"
- "Windows privilege escalation detection forensic"
- "PowerShell execution logging Event ID 4104"
---
## D3. 僵尸节点角色维度
> 核心思路:被控后设备被用来干什么,不同用途留下完全不同的痕迹
> 先判断角色,再精准检测
### 7 种僵尸节点角色及检测矩阵
| 角色 | 流量指纹 | 进程指纹 | 文件指纹 | 日志指纹 | 特有检测 |
|------|---------|---------|---------|---------|---------|
| DDoS 攻击者 | 大量出站 SYN/UDP | 网络 API 异常调用 | 无明显文件 | 防火墙日志出站暴增 | 流量速率突变检测 |
| 垃圾邮件中继 | 25/465/587 出站 | SMTP 相关进程 | 邮件模板文件 | SMTP 日志异常 | 邮件队列异常 |
| 挖矿节点 | 矿池端口连接 | 高 CPU 进程 | 挖矿配置文件 | 无特殊日志 | CPU 占用模式分析 |
| 代理/SOCKS 节点 | 大量入站+转发出站 | 代理服务进程 | 代理配置文件 | 端口监听日志 | 端口监听异常 |
| 凭据窃取节点 | 少量 C2+数据上传 | LSASS 访问进程 | 凭据转储工具 | LSASS 访问日志 | LSASS 进程访问审计 |
| 扫描/蠕虫节点 | 大量 SYN 半开连接 | 扫描工具进程 | 扫描结果文件 | 防火墙拦截日志 | 半开连接计数 |
| C2 中继/代理 | 入站连接(其他 Bot) | C2 服务进程 | C2 配置/面板 | 端口监听日志 | 入站连接异常 |
### 角色判定算法
```
角色判定流程:
1. 检测出站流量特征 → 判断是否 DDoS/扫描/邮件
2. 检测 CPU/GPU 占用模式 → 判断是否挖矿
3. 检测入站连接 → 判断是否 C2 中继/代理
4. 检测 LSASS 访问 → 判断是否凭据窃取
5. 检测数据上传量 → 判断是否数据收集
6. 多角色共存检测(一台设备可能同时挖矿+DDoS)
```
**搜索关键词:**
- "botnet node role classification detection"
- "DDoS bot traffic pattern detection"
- "cryptojacking detection Windows CPU"
- "spam relay botnet detection SMTP"
- "botnet proxy SOCKS detection"
- "credential harvesting botnet LSASS detection"
---
## D4. 技术栈层级维度
> 核心思路:恶意代码可以藏在从固件到应用的任何一层,逐层扫描确保无遗漏
### 7 个技术层级
| 层级 | Ring | 检测内容 | 检测工具/方法 | 检测难度 |
|------|------|---------|-------------|---------|
| L1. 固件层 | Ring -2 | BIOS/UEFI 后门、固件 Rootkit | 固件哈希对比、CHIPSEC | ★★★★★ |
| L2. 硬件层 | Ring -1 | TPM 篡改、硬件后门 | TPM 状态检查 | ★★★★★ |
| L3. 内核层 | Ring 0 | 内核驱动 Rootkit、SSDT Hook | 内核模块审计、DKOM 检测 | ★★★★☆ |
| L4. 系统服务层 | Ring 3 | 恶意服务、WMI 订阅 | 服务枚举、WMI 审计 | ★★☆☆☆ |
| L5. 应用层 | Ring 3 | 恶意进程、注入代码 | 进程审计、签名验证 | ★★☆☆☆ |
| L6. 脚本/解释器层 | Ring 3 | PowerShell/VBS/JS 恶意脚本 | 脚本日志、AMSI | ★★★☆☆ |
| L7. 网络/协议层 | N/A | C2 通信、隧道、DNS 劫持 | 网络连接审计、流量分析 | ★★★☆☆ |
### 各层检测细节
#### L1 固件层
- BIOS/UEFI 版本与官方版本对比
- 固件修改时间戳异常
- CHIPSEC 工具检测固件后门
- Secure Boot 状态检查
- ME (Management Engine) 异常
#### L3 内核层
- 已加载内核模块列表(与干净系统对比)
- 驱动程序签名验证
- SSDT(系统服务描述符表)Hook 检测
- IRP(I/O 请求包)Hook 检测
- 内核回调函数篡改检测
- DKOM(直接内核对象操作)检测 — 隐藏进程/文件
- Mini-Filter 驱动审计
#### L6 脚本/解释器层
- PowerShell 脚本块日志审计
- AMSI 集成与绕过检测
- Windows Script Host 执行记录
- .NET assembly 加载记录(ETW)
- Python/Node.js 脚本执行记录
- 脚本编码/混淆检测
**搜索关键词:**
- "UEFI BIOS rootkit detection CHIPSEC"
- "Windows kernel rootkit detection SSDT hook"
- "DKOM hidden process detection tools"
- "AMSI bypass detection PowerShell"
- "Windows minifilter driver audit security"
- ".NET assembly loading ETW detection"
---
## D5. 时间线维度
> 核心思路:建立完整时间轴,定位感染时刻,从感染点向前向后追溯
### 时间线构建方法
```
时间轴构建步骤:
1. 收集所有带时间戳的 artifacts:
- 文件创建/修改/访问时间(MACE)
- 注册表键写入时间
- 事件日志条目
- Prefetch 文件(记录程序首次/最后运行时间)
- 计划任务创建时间
- 服务安装时间
- 用户登录/注销时间
- 网络连接时间
2. 按 NIST 易失性反向排序(从永久到易失)
3. 寻找"时间锚点":
- 异常进程首次启动时间
- 可疑文件首次创建时间
- 持久化项首次写入时间
- 首次出现的外连记录
4. 从锚点向前回溯:找感染入口
从锚点向后追踪:找后续行动
5. 交叉验证:多个 artifact 的时间戳应一致
不一致 = 时间戳被篡改
```
### 关键时间戳来源
| 来源 | 包含信息 | 获取方法 |
|------|---------|---------|
| Prefetch | 程序运行历史(最多 1022 条) | `%SystemRoot%\Prefetch\*.pf` |
| 事件日志 | 系统所有重要事件 | Event Viewer / wevtutil |
| 注册表 | 键值写入时间 | reg query / RegRipper |
| 文件系统 | MACE 时间(创建/修改/访问/修改MFT) | dir / PowerShell |
| $MFT | 文件系统主表(含时间戳) | MFT Explorer / analyzeMFT |
| $UsnJrnl | 文件变更日志 | USN Journal Parser |
- $LogFile | NTFS 事务日志 | NTFS Log Parser |
| ShimCache | 应用兼容性缓存 | AppCompatCache Parser |
| Amcache | 程序执行历史 | Amcache Parser |
| RecentDocs | 最近打开文档 | 注册表解析 |
| Jump Lists | 任务栏跳转列表 | AutomaticDestinations 解析 |
| Browser History | 网页访问时间 | 各浏览器历史解析 |
| RDP Cache | 远程登录历史 | 注册表 Terminal Server Client |
### 时间线分析工具
- **Plaso / Log2Timeline** — 超级时间线工具
- **Eric Zimmerman's Tools** — Timeline Explorer, MFTECmd
- **KAPE** — 快速取证采集
- **Volatility 3 timeliner** — 内存时间线
- **RegRipper** — 注册表时间提取
**搜索关键词:**
- "Windows forensic timeline analysis Plaso"
- "Prefetch file analysis forensic timeline"
- "Amcache ShimCache forensic artifacts"
- "MFT analysis USN journal forensic"
- "super timeline digital forensics methodology"
- "Windows timestamp tampering detection timestomp"
---
## D6. 用户行为偏差维度
> 核心思路:不靠规则匹配恶意特征,而是对比"正常"与"现在"的差异
> 偏差本身就是可疑信号
### 6 类行为偏差检测
#### 偏差 1:网络行为偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 工作时间上网 | 深夜大量出站流量 | 按时段统计出站流量 |
| 连接已知服务器 | 连接未知 IP/域名 | DNS 请求白名单对比 |
| HTTP/HTTPS 为主 | 非常规端口通信(853/4444/3333) | 端口使用基线对比 |
| 下行 > 上行 | 上行 ≈ 下行或上行 > 下行 | 上下行流量比监控 |
| 间歇性使用 | 持续心跳连接 | 连接间隔规律性检测 |
| 无 SMTP 流量 | 25/465/587 端口活动 | SMTP 端口监控 |
#### 偏差 2:系统资源偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 空闲时 CPU < 5% | 空闲时 CPU > 30% | 空闲时段资源监控 |
| GPU 间歇使用 | GPU 持续满载 | GPU 使用率监控 |
| 内存稳定 | 内存持续增长 | 内存趋势分析 |
| 磁盘间歇读写 | 磁盘持续写入 | 磁盘 I/O 监控 |
| 网络间歇使用 | 网络持续上传 | 网络流量基线 |
#### 偏差 3:进程行为偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 系统进程签名有效 | 系统进程签名异常 | 数字签名验证 |
| svchost 在正常路径 | svchost 在非 System32 | 进程路径验证 |
| explorer 无子进程 | explorer 启动 powershell/cmd | 异常父子进程关系 |
| 正常 DLL 加载 | 加载非系统目录 DLL | DLL 加载审计 |
| 正常命令行参数 | 编码/超长/可疑参数 | 命令行参数分析 |
#### 偏差 4:系统配置偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 防火墙开启 | 防火墙被关闭/规则被改 | 防火墙状态审计 |
| Defender 启用 | Defender 被禁用 | Defender 状态检查 |
| UAC 开启 | UAC 被降级/关闭 | UAC 配置检查 |
| 正常 Hosts 文件 | Hosts 被篡改 | Hosts 文件哈希对比 |
| 正常 DNS 设置 | DNS 被改为陌生地址 | DNS 配置基线对比 |
| 无开放端口 | 新增监听端口 | 端口监听基线对比 |
#### 偏差 5:用户账户偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 已知用户列表 | 新增未知用户 | 用户账户枚举对比 |
| 管理员组已知 | 管理员组新增成员 | 管理员组审计 |
| 无隐藏用户 | 出现隐藏用户($结尾) | 隐藏用户检测 |
| 正常登录时间 | 异常时间登录 | 登录时间基线对比 |
| 本地登录为主 | 出现远程登录 | 登录类型审计 |
#### 偏差 6:持久化项偏差
| 正常状态 | 异常偏差 | 检测方法 |
|---------|---------|---------|
| 干净的自启项列表 | 新增自启项 | 自启项基线对比 |
| 干净的计划任务 | 新增计划任务 | 计划任务枚举对比 |
| 已知服务列表 | 新增未知服务 | 服务枚举对比 |
| 干净的 WMI 订阅 | 新增 WMI 事件订阅 | WMI 订阅审计 |
| 干净的注册表 | 新增可疑键值 | 注册表快照对比 |
### 基线采集策略
```
基线采集方案:
1. 全新系统/重装后立即采集 → 作为"黄金基线"
2. 正常使用 1 周后再次采集 → 作为"使用基线"
3. 日常定期采集 → 趋势对比
4. 基线存储:JSON 格式,哈希签名保护
5. 对比方式:diff + 相似度评分
6. 首次使用时做全量基线扫描,后续增量对比
```
**搜索关键词:**
- "endpoint behavior baseline anomaly detection"
- "Windows system configuration drift detection"
- "host baseline comparison security"
- "network traffic baseline profiling"
- "process behavior deviation detection ML"
- "system configuration change monitoring Windows"
---
## D7. 攻击者目的维度
> 核心思路:从"攻击者为什么选这台设备"出发,反推可能的行动模式
### 5 类攻击目的及对应检测
| 攻击目的 | 为什么选这台设备 | 会做什么 | 检测重点 |
|---------|---------------|---------|---------|
| DDoS 兵力 | 只要有公网 IP 就行,越多越好 | 植入 DDoS 客户端,等待指令 | 出站流量暴增、非常规端口 |
| 挖矿肉鸡 | CPU/GPU 性能好、在线时间长 | 植入挖矿程序 | CPU/GPU 高占用、矿池连接 |
| 数据窃取 | 设备存有敏感数据(企业/开发) | 植入间谍软件、键盘记录 | 数据外传流量、LSASS 访问 |
| 横向跳板 | 内网位置好(可访问其他设备) | 扫描内网、传播蠕虫 | 内网扫描流量、端口探测 |
| 代理/中转 | 有稳定公网 IP/高带宽 | 植入代理服务 | 入站连接异常、端口监听 |
### 目的推断流程
```
目的推断流程:
1. 分析设备特征:
- 是否有公网 IP? → 可能被用作 DDoS/代理
- GPU 是否高端? → 可能被用作挖矿
- 是否存有敏感文件? → 可能被用作数据窃取
- 是否在内网关键位置? → 可能被用作跳板
- 是否高性能服务器? → 可能被用作 C2 中继
2. 根据设备特征预判可能目的
3. 针对预判目的执行定向检测
4. 结合实际发现的证据确认目的
```
**搜索关键词:**
- "botnet infection motivation analysis"
- "attacker intent classification endpoint"
- "DDoS bot vs mining bot vs spyware detection"
- "botnet payload classification by behavior"
---
## D8. 证据链关联维度
> 核心思路:发现一条线索后,沿着关联关系追到底,一条线索牵出整条链
### 关联关系图
```
网络连接 ←→ 进程 ←→ 父进程 ←→ 文件 ←→ 创建者 ←→ 持久化项
↕ ↕ ↕ ↕ ↕
DNS 请求 命令行参数 服务/任务 文件哈希 注册表键
↕ ↕ ↕ ↕ ↕
威胁情报 脚本内容 启动时间 YARA 规则 写入时间
```
### 关联追踪方法
#### 追踪示例 1:发现可疑网络连接
```
发现:TCP 外连 185.x.x.x:8443(非常规端口)
↓ 关联:哪个进程发起的?(netstat -ano → PID)
↓ 关联:进程是谁?(PID → 进程名/路径/命令行)
↓ 关联:进程的父进程是谁?(进程树追溯)
↓ 关联:进程文件何时创建?(文件时间戳)
↓ 关联:谁创建的文件?(文件所有者/创建进程)
↓ 关联:文件是持久化的吗?(检查自启项/服务/计划任务)
↓ 关联:IP/域名在威胁情报中是否已知恶意?(情报查询)
↓ 关联:还有哪些进程连接同一 IP/C 段?(横向扩展)
↓ 结果:一条网络线索 → 完整攻击链
```
#### 追踪示例 2:发现可疑持久化项
```
发现:注册表 Run 键新增 "WindowsUpdate" = "C:\Users\xxx\AppData\Local\Temp\svhost.exe"
↓ 关联:文件是否存在?哈希是什么?(文件检查)
↓ 关联:文件签名是否有效?(签名验证)
↓ 关联:文件是否在威胁情报中已知?(VirusTotal 查询)
↓ 关联:文件何时创建?创建者是谁?(时间戳 + 进程)
↓ 关联:该进程还做了什么?(网络连接/文件操作/注册表修改)
↓ 关联:是否有同源文件?(YARA 规则扫描相似文件)
↓ 关联:注册表键何时写入?(注册表时间戳)
↓ 关联:写入时谁在运行?(事件日志交叉查询)
↓ 结果:一条注册表线索 → 恶意软件家族 + 入侵路径
```
### 关联分析工具
- **Velociraptor** — 端点关联查询(VQL)
- **osquery** — SQL 查询端点数据
- **Sysmon + ELK** — 事件关联查询
- **Neo4j / Maltego** — 图数据库关联分析
- **ChainEye / Crowdstrike Falcon** — 商业关联引擎
**搜索关键词:**
- "endpoint forensic correlation analysis"
- "Velociraptor VQL correlation query"
- "Sysmon event correlation detection"
- "malware investigation pivot techniques"
- "process network file registry correlation"
- "threat hunting pivot methodology"
---
## D9. 用户场景维度
> 核心思路:不同用户使用场景面临不同威胁,检测策略应差异化
### 6 种用户场景及检测策略
| 场景 | 高风险感染路径 | 重点检测模块 | 优先级 |
|------|-------------|------------|--------|
| 普通家庭用户 | 钓鱼/破解软件/USB | 网络审计+进程审计+持久化 | ★★★☆☆ |
| 游戏玩家 | 外挂/破解游戏/语音软件漏洞 | 文件签名+进程审计+挖矿检测 | ★★★☆☆ |
| 远程办公者 | RDP/VPN/钓鱼 | RDP 日志+网络审计+持久化 | ★★★★☆ |
| 开发者 | 供应链/开发工具/SSH | 包管理器审计+配置文件+SSH 密钥 | ★★★★☆ |
| 企业内网用户 | 横向移动/共享文件/内网钓鱼 | 内网连接+横向痕迹+共享审计 | ★★★★★ |
| 服务器管理员 | 漏洞利用/SSH 暴力/提权 | 补丁状态+SSH 日志+服务审计 | ★★★★★ |
### 各场景检测差异
#### 普通家庭用户
- 重点:钓鱼邮件附件、破解软件、浏览器安全
- 策略:轻量扫描 + 自动基线 + 简单报告
- 典型威胁:挖矿木马、广告软件、DDoS Bot
#### 游戏玩家
- 重点:游戏外挂捆绑、语音软件漏洞( Discord/TeamSpeak)
- 额外检测:游戏目录文件审计、外挂进程检测
- 典型威胁:挖矿木马(利用 GPU)、账号窃取
#### 远程办公者
- 重点:RDP 安全、VPN 配置、钓鱼邮件
- 额外检测:RDP 登录日志、VPN 连接审计
- 典型威胁:RDP 暴力破解 → 勒索软件/僵尸网络
#### 开发者
- 重点:包管理器、开发工具、SSH 密钥、代码仓库
- 额外检测:pip/npm 安装历史、.ssh 目录、Git hooks、IDE 插件
- 典型威胁:供应链投毒、SSH 密钥窃取、IDE 插件后门
#### 企业内网用户
- 重点:横向移动痕迹、共享文件传播、内网钓鱼
- 额外检测:内网连接审计、SMB 共享扫描、Pass-the-Hash 痕迹
- 典型威胁:蠕虫传播、内网 C2 中继、凭据窃取
#### 服务器管理员
- 重点:漏洞利用、SSH 暴力、权限提升
- 额外检测:补丁状态全量审计、SSH 登录日志、sudo 历史
- 典型威胁:Web Shell、挖矿僵尸网络、C2 中继
**搜索关键词:**
- "endpoint security home user best practices"
- "gamer malware detection GPU mining"
- "remote worker RDP security checklist"
- "developer supply chain attack prevention"
- "enterprise endpoint lateral movement detection"
- "server hardening botnet prevention checklist"
---
## D10. 检测深度维度
> 核心思路:从浅到深逐层检测,浅层快速筛、深层精准确认
### 5 个检测深度层级
| 深度 | 方法 | 速度 | 准确率 | 误报率 | 适用场景 |
|------|------|------|--------|--------|---------|
| Depth 1 | IoC/签名匹配 | 极快 | 中 | 低 | 快速初筛 |
| Depth 2 | 行为规则匹配 | 快 | 中高 | 中 | 日常扫描 |
| Depth 3 | 关联分析 | 中 | 高 | 低 | 深度排查 |
| Depth 4 | 内存取证 | 慢 | 极高 | 极低 | 确认感染 |
| Depth 5 | 威胁情报增强 | 中 | 极高 | 极低 | 情报定性 |
### 各深度检测内容
#### Depth 1:IoC/签名匹配(快速初筛)
- 文件哈希与已知恶意哈希比对(MD5/SHA256)
- 文件签名验证(数字证书有效性)
- YARA 规则扫描(特征字符串/字节序列)
- 域名/IP 黑名单比对
- 已知恶意文件名/路径匹配
- **特点**:速度快但只能检测已知威胁,零日攻击无法发现
#### Depth 2:行为规则匹配(日常扫描)
- Sigma 规则匹配(日志事件模式)
- 异常进程行为检测(父子进程关系异常)
- 持久化位置异常检测(非标准位置的自启项)
- 网络行为异常检测(非常规端口/心跳连接)
- 系统配置异常检测(防火墙/Defender 被关闭)
- **特点**:能发现未知变种,但需要调优避免误报
#### Depth 3:关联分析(深度排查)
- 多维度关联(网络×进程×文件×注册表×日志)
- 攻击链重建(ATT&CK 技术序列匹配)
- 时间线分析(异常事件时间聚类)
- 基线对比(当前状态 vs 干净基线)
- **特点**:准确率高但耗时长,适合可疑设备深度排查
#### Depth 4:内存取证(确认感染)
- Volatility 3 全套插件扫描
- 进程注入检测(malfind/ldrmodules/hollowfind)
- Rootkit 检测(psxview/ssdt/malfind)
- 内核模块审计
- 凭据驻留检测
- **特点**:最精准但需要管理员权限和内存转储,最耗时
#### Depth 5:威胁情报增强(情报定性)
- VirusTotal 文件/IP/域名/URL 查询
- AbuseIPDB IP 信誉查询
- OTX 脉冲查询
- ThreatFox IoC 查询
- JARM 指纹匹配 C2 集群
- **特点**:能给检测结果定性(恶意软件家族/攻击组织),但依赖外部 API
### 深度递进策略
```
扫描策略:
1. Depth 1 快速初筛 → 有命中则升级
2. Depth 2 行为扫描 → 有异常则升级
3. Depth 3 关联分析 → 确认可疑链路则升级
4. Depth 4 内存取证 → 确认感染
5. Depth 5 情报增强 → 定性定源
日常扫描:Depth 1 + 2(5 分钟内完成)
可疑排查:Depth 1 + 2 + 3(10-15 分钟)
深度取证:全 5 层(30-60 分钟)
```
**搜索关键词:**
- "endpoint detection layered approach IoC behavioral"
- "YARA Sigma rule scanning methodology"
- "memory forensics vs behavioral detection"
- "threat intelligence enrichment endpoint detection"
- "progressive scanning strategy endpoint security"
---
## 维度交叉矩阵
> 不同维度交叉使用,形成检测网,任何单一维度的盲区都能被其他维度覆盖
| 交叉组合 | 检测策略 | 典型场景 |
|---------|---------|---------|
| D1×D2 | 从感染路径推算攻击走到哪一步 | 已知感染路径,追溯后续行动 |
| D1×D3 | 从感染路径推算节点角色 | 钓鱼邮件 → 可能是 DDoS Bot |
| D1×D5 | 从感染路径定位入侵时间点 | RDP 破解 → 查登录日志 |
| D2×D3 | 从攻击阶段推算节点用途 | C2 阶段 → 判断角色类型 |
| D3×D7 | 从节点角色推算攻击目的 | 挖矿节点 → 经济目的 |
| D4×D8 | 从技术层级追关联链 | 内核层 Rootkit → 追加载来源 |
| D5×D8 | 从时间线追关联链 | 时间锚点 → 横向扩展 |
| D6×D9 | 从行为偏差结合用户场景 | 开发者场景 → 包管理器偏差 |
| D1×D9 | 从感染路径结合用户场景 | 游戏玩家 → 外挂路径 |
| D10×D3 | 从检测深度分层检测角色 | Depth 4 内存 → 确认注入型 Bot |
---
## 多维度检测执行流程
```
Phase 1:场景画像(D9)
→ 判断用户类型和设备角色
→ 确定高风险感染路径
Phase 2:基线建立(D6)
→ 采集系统基线
→ 建立行为基线
Phase 3:快速初筛(D10 Depth 1-2)
→ IoC + 签名匹配
→ 行为规则扫描
Phase 4:路径定向(D1)
→ 根据场景画像执行路径特有检测
→ 针对高风险路径深入检查
Phase 5:角色判定(D3×D7)
→ 分析流量/资源特征判断节点角色
→ 推断攻击目的
Phase 6:深度排查(D10 Depth 3-4)
→ 关联分析(D8)
→ 时间线分析(D5)
→ 内存取证(D4)
Phase 7:情报定性(D10 Depth 5)
→ 威胁情报查询
→ 家族/组织归因
Phase 8:报告生成
→ 多维度综合评分
→ 可读性报告(区分技术/非技术用户)
```
---
_本框架将与现有的「设计思路」「信息收集策划方案」「技术深度调研附录」配合使用,
形成完整的多维度检测体系。_