RamzyAboughlia/Azuki-Threat-Hunt

# 事件响应报告 **Azuki Import/Export Trading Co.** *威胁狩猎练习 — 培训目的* ## 报告元数据 ## | 字段 | 详情 | |---|---| | **组织** | Azuki Import/Export Trading Co. | | **报告日期:** | 2026-04-10 | | **事件日期:** | 2025-11-19 | | **分析师:** | Ramzy Aboughlia | | **受影响系统:** | AZUKI-SL (IT 管理员工作站) | | **严重程度:** | 严重 | | **状态:** | 已控制 | ## 发现摘要 - 外部威胁行为者通过暴力破解攻击攻陷了 IT 管理员工作站（AZUKI-SL）上的账户 **kenji.sato**，来源 IP 为 `88.97.178.12`。 - 攻击者部署了一个恶意 PowerShell 脚本（`wupdate.ps1`），从 C2 服务器 `78.141.196.6:8080` 下载以自动化攻击链。 - 通过在 `.bat`、`.ps1`、`.exe` 扩展名以及暂存目录 `C:\ProgramData\WindowsCache` 中添加排除项，禁用了 Windows Defender，使载荷得以在未检测的情况下执行。 - 使用重命名的 Mimikatz 二进制文件（`mm.exe`）通过 `sekurlsa::logonpasswords` 模块从 LSASS 内存中窃取凭据。 - 收集的数据被压缩为 `export-data.zip`，并通过 `curl.exe` 使用 HTTPS 泄露到 Discord 网络钩子。 - 创建了一个名为 `support` 的后门账户，并将其提升为管理员以维持持久访问。 - 创建了一个名为 `Windows Update Check` 的计划任务，以每天 02:00 作为 SYSTEM 执行恶意 `svchost.exe`。 - 攻击者使用 `wevtutil.exe` 清除了安全、系统和应用程序事件日志以销毁取证证据。 - 通过窃取凭据并使用 `mstsc.exe` 进行远程桌面协议（RDP）实现横向移动，攻击了内部目标 `10.1.0.188`。 ## 人员、动作、时间、地点、原因与方式 ### 人员 **攻击者** - 初始访问源 IP：`88.97.178.12` - 次级暴力破解 IP：`115.247.157.74` - 内部跳转 IP：`10.0.8.9`（远程设备：`vm00000b`） - C2 服务器：`78.141.196.6:8080` - 泄露平台：Discord（`discord.com/api/webhooks`） **被攻陷** - **主要账户：** `kenji.sato` — 用作初始立足点的 IT 管理员账户 - **创建的后门账户：** `support` — 本地账户，已提升为管理员 - **主要系统：** `AZUKI-SL` — IT 管理员工作站 - **横向移动二级目标：** `10.1.0.188` — 内部文件服务器（`fileadmin` 账户） ### 动作 1. 对 `kenji.sato` 账户执行暴力破解攻击，攻击源 IP 为 `88.97.178.12`。 2. 成功登录 — 攻击者在 AZUKI-SL 上获得立足点。 3. 下载并执行 PowerShell 脚本 `wupdate.ps1`，来自 C2 服务器 — 攻击链自动化。 4. 为 `.bat`、`.ps1`、`.exe` 以及暂存目录路径添加 Windows Defender 排除项。 5. 通过 `certutil.exe`（LOLBin）下载载荷 — `mm.exe`（Mimikatz）和伪造的 `svchost.exe`。 6. 使用 `ipconfig` 和 `arp` 命令进行网络侦察。 7. 创建后门账户 `support` 并提升为管理员。 8. 使用 `mm.exe` 执行 `sekurlsa::logonpasswords` 从 LSASS 内存中倾倒凭据。 9. 使用 PowerShell `Compress-Archive` 将收集的数据压缩为 `export-data.zip`。 10. 使用 `curl.exe` 通过 HTTPS（端口 443）将 `export-data.zip` 上传至 Discord 网络钩子。 11. 创建计划任务 `Windows Update Check`，以每天 02:00 作为 SYSTEM 实现持久化。 12. 使用 `wevtutil.exe` 清除安全、系统和应用程序事件日志。 13. 使用 `cmdkey` + `mstsc` 结合窃取的 `fileadmin` 凭据进行横向移动至 `10.1.0.188`。 ### 时间 | 日期/时间（UTC） | 事件 | 详情 | |---|---|---| | 2025-11-19（早期） | 初始暴力破解 | IP `88.97.178.12` 开始尝试登录 `kenji.sato` | | 2025-11-19（早期） | 初始访问确认 | `kenji.sato` 成功从 `88.97.178.12` 认证 | | 2025-11-19 ~18:00 | 脚本下载 | `wupdate.ps1` 从 `78.141.196.6:8080` 下载至 `AppData\Local\Temp` | | 2025-11-19 18:49:27 | 防病毒程序规避 | 为 `.bat`、`.ps1`、`.exe` 添加 Windows Defender 排除项 | | 2025-11-19 18:49:29 | 路径排除添加 | 将 WindowsCache 和 Temp 路径排除在 Defender 扫描之外 | | 2025-11-19 ~18:50 | 载荷下载 | `certutil` 下载 `mm.exe` 和 `svchost.exe` 至暂存目录 | | 2025-11-19 ~19:00 | 侦察 | 执行 `ipconfig` 和 `arp` 命令进行网络发现 | | 2025-11-19 ~19:00 | 持久化 #1 | 创建后门账户 `support` 并加入 Administrators 组 | | 2025-11-19 ~19:10 | 凭据倾倒 | 执行 `mm.exe` — `sekurlsa::logonpasswords` 倾倒 LSASS 内存 | | 2025-11-19 ~19:15 | 收集 | 在 `C:\ProgramData\WindowsCache` 创建 `export-data.zip` | | 2025-11-19 ~19:20 | 泄露 | 使用 `curl.exe` 通过 HTTPS 将 `export-data.zip` 上传至 Discord 网络钩子 | | 2025-11-19 ~19:25 | 持久化 #2 | 创建计划任务 `Windows Update Check` — 每天 02:00 作为 SYSTEM 执行 | | 2025-11-19 ~19:30 | 日志清除 | 使用 `wevtutil` 清除安全、系统和应用程序日志 | | 2025-11-19 19:05:11 | 横向移动侦察 | 执行 `cmdkey /list` 枚举保存的凭据 | | 2025-11-19 19:10:37 | 凭据暂存 | 使用 `cmdkey` 存储 `fileadmin` 凭据用于 `10.1.0.188` | | 2025-11-19 19:10:41 | 横向移动 | 执行 `mstsc /v:10.1.0.188` — 建立到文件服务器的 RDP 会话 | ### 地点 **被攻陷系统** - 主机名：`AZUKI-SL`（IT管理员工作站） **攻击者基础设施** - 初始访问 IP：`88.97.178.12`（外部 — 远程桌面/暴力破解） - 次级攻击 IP：`115.247.157.74`（外部 — 失败的 admin 暴力破解） - 内部跳转：`10.0.8.9` / `vm00000b` - C2 服务器：`78.141.196.6:8080`（载荷托管与命令） - 泄露端点：Discord（`discord.com/api/webhooks`，HTTPS 端口 443） **恶意软件位置** - `C:\ProgramData\WindowsCache\mm.exe` — 重命名的 Mimikatz 凭据转储工具 - `C:\ProgramData\WindowsCache\svchost.exe` — 持久化载荷 - `C:\ProgramData\WindowsCache\export-data.zip` — 压缩的窃取数据 - `C:\Users\kenji.sato\AppData\Local\Temp\wupdate.ps1` — 初始攻击脚本 - `C:\Users\kenji.sato\Downloads\WindowsUpdate.bat` — 隐藏的批处理文件 - `C:\Users\kenji.sato\WindowsUpdate.bat` — 隐藏的批处理文件（副本） **横向移动目标** - `10.1.0.188` — 内部文件服务器（使用 `fileadmin` 凭据通过 RDP 访问） ### 原因 **根本原因** - `kenji.sato` IT 管理员账户的密码弱或重复使用，允许从外部 IP 成功暴力破解。 - 未实施账户锁定策略或 MFA（多因素认证）来保护 IT 管理员工作站。 - Windows Defender 配置过于宽松，允许非 SYSTEM 进程添加基于注册表的排除项。 - 缺乏网络出口过滤，无法阻止到原始 IP 地址和非标准端口的出站连接。 **攻击者目标** - **主要：** 从 Azuki Import/Export 窃取数据 — 运输物流、客户数据、财务记录。 - **次要：** 建立持久访问权限，以便进行长期监视和重新进入。 - **第三：** 横向移动到内部文件服务器（`10.1.0.188`）以访问敏感公司文件。 ### 方式 — 攻击链 1. **[初始访问]** 从 `88.97.178.12` 对 `kenji.sato` 账户执行暴力破解攻击。成功通过远程桌面登录。确认账户具有 IT 管理员高权限。 2. **[执行]** 使用 `Invoke-WebRequest` 从 C2 服务器（`78.141.196.6:8080`）下载 PowerShell 脚本 `wupdate.ps1`，参数为 `-WindowStyle Hidden` 和 `-ExecutionPolicy Bypass`。脚本保存到 Temp 目录并伪装成 Windows 更新。 3. **[防御规避]** 通过注册表添加 Windows Defender 排除项，针对 `.bat`、`.ps1`、`.exe` 扩展名和暂存目录路径。这使得后续载荷可在不触发防病毒的情况下执行。 4. **[C2 下载]** 使用 LOLBin `certutil.exe` 从 C2 服务器下载 `mm.exe`（重命名的 Mimikatz）和伪造的 `svchost.exe` 到 `C:\ProgramData\WindowsCache` 暂存目录。 5. **[发现]** 使用 `ipconfig` 和 `arp` 命令执行网络侦察，以映射内部网络并确定横向移动目标。 6. **[持久化 #1]** 创建后门本地账户 `support` 并添加到 Administrators 组，以保证独立于 `kenji.sato` 账户的重新进入。 7. **[凭据访问]** 执行 `mm.exe`，使用 `privilege::debug` 和 `sekurlsa::logonpasswords` 模块从 LSASS 内存中倾倒所有凭据，包括明文密码和 NTLM 哈希。 8. **[收集]** 使用 PowerShell `Compress-Archive` 将敏感文件和凭据倾倒输出压缩为 `export-data.zip`，并存放在暂存目录。 9. **[泄露]** 使用 `curl.exe` 将 `export-data.zip` 上传至 Discord 网络钩子，通过 HTTPS（端口 443）传输 — 流量与正常 Web 流量混合以避免检测。 10. **[持久化 #2]** 创建计划任务 `Windows Update Check`，每天 02:00 作为 SYSTEM 执行 `C:\ProgramData\WindowsCache\svchost.exe` — 确保载荷在重启后存活。 11. **[防御规避 #2]** 使用 `wevtutil.exe` 清除安全、系统和应用程序事件日志 — 销毁整个攻击的取证证据。 12. **[横向移动]** 使用 `cmdkey` 存储窃取的 `fileadmin` 凭据用于 `10.1.0.188`。随后使用 `mstsc.exe` 打开到内部文件服务器的 RDP 会话，以 AZUKI-SL 为跳板进行 pivoting。 ## 影响评估 **实际影响** - **凭据泄露：** AZUKI-SL 上登录的所有账户凭据均从 LSASS 内存中窃取 — 包括域账户，可能使攻击者获得对多个系统的访问权限。 - **数据泄露：** 公司数据被压缩并成功发送至外部 Discord 网络钩子 — 窃取数据的范围因文件服务器取证而未知。 - **文件服务器被访问：** 横向移动到 `10.1.0.188`（`fileadmin`）意味着攻击者可以访问 Azuki Import/Export 的运输物流、客户数据和财务记录。 - **持久访问维持：** 两个持久化机制仍然存在（后门账户 `support` + 计划任务） — 攻击者可以随时重新进入。 - **取证证据被销毁：** 事件日志清除意味着攻击活动的完整范围可能永远无法完全恢复。 - **Windows Defender 被破坏：** AV 排除项仍保留在注册表中，直到手动移除 — 端点防护对关键文件类型实际上已禁用。 | 类别 | 影响 | 严重程度 | |---|---|---| | 机密性 | 数据被盗 — 运输、客户、财务记录 | 严重 | | 完整性 | 后门账户 + 计划任务安装 | 高 | | 可用性 | 通过日志清除销毁取证证据 | 高 | | 凭据安全 | 所有 LSASS 凭据被泄露 | 严重 | | 网络安全 | 横向移动到内部文件服务器 | 严重 | **总体风险等级：** 严重 ## 建议 ### 立即行动（24 小时内） - 立即将 AZUKI-SL 与网络隔离，以防止进一步横向移动或 C2 通信。 - 禁用并删除系统中的后门账户 `support`。 - 从计划任务调度程序中删除恶意计划任务 `Windows Update Check`。 - 在防火墙层面阻止所有到 `78.141.196.6` 和 `88.97.178.12` 的出站连接。 - 重置 `kenji.sato` 密码以及 AZUKI-SL 上所有暴露凭据的账户密码。 - 从注册表中删除攻击者添加的 Windows Defender 排除项。 - 在进行任何修复之前保留 AZUKI-SL 的磁盘镜像以供取证分析。 - 检查 `10.1.0.188`（文件服务器）是否存在被攻陷迹象 — 检查日志、新建账户、文件访问情况。 ### 短期（1–7 天） - 在所有远程访问方法（尤其是 RDP 和 VPN 的 IT 管理员账户）上部署 MFA（多因素认证）。 - 实施账户锁定策略：在 10 分钟内失败登录尝试达到 5 次后锁定账户。 - 在网络边界阻止出站 HTTPS 到 Discord 网络钩子和原始 IP 地址。 - 启用 Windows Defender 篡改保护，以防止通过注册表更改防病毒排除项。 - 审计所有系统上的本地管理员账户 — 移除不必要的特权账户。 - 部署 SIEM 告警，针对 `certutil.exe`、`mstsc.exe`、`cmdkey.exe` 和 `wevtutil.exe` 的执行。 - 审查并审计整个网络中所有计划任务，查找恶意条目。 ### 长期 - 实施特权工作站（PAW）用于 IT 管理员任务 — 将管理员权限与日常使用机器分离。 - 部署基于网络的 IDS/，以检测横向移动和 C2 通信模式。 - 启用 LSASS 保护（RunAsPPL），以防止使用 Mimikatz 等工具进行凭据转储。 - 定期进行威胁狩猎练习和红队评估，以在攻击者发现漏洞之前识别差距。 - 在所有 Windows 系统上实施凭据防护（Credential Guard），以保护内存中的凭据。 - 建立正式的事件响应计划，并制定常见攻击类型的剧本。 - 为所有员工提供安全意识培训，重点关注钓鱼攻击和凭据卫生。 ## 附录 ### A. 妥协指标（IOCs） | 类别 | 指标 | 描述 | |---|---|---| | 攻击者 IP | `88.97.178.12` | 初始访问暴力破解源 IP | | 攻击者 IP | `115.247.157.74` | 次级暴力破解尝试 IP | | 内部 IP | `10.0.8.9` | 内部跳转点（`vm00000b`） | | C2 服务器 | `78.141.196.6:8080` | 载荷托管服务器 — certutil 下载 | | C2 URL | `http://78.141.196.6:8080/AdobeGC.exe` | Mimikatz 下载 URL（伪装为 Adobe） | | C2 URL | `http://78.141.196.6:8080/svchost.exe` | 持久化载荷下载 URL | | C2 URL | `http://78.141.196.6:8080/wupdate.ps1` | 初始攻击脚本下载 URL | | 泄露 | `discord.com/api/webhooks/...` | 用于数据泄露的 Discord 网络钩子 | | 横向目标 | `10.1.0.188` | 内部文件服务器 — 横向移动目标 | | 恶意文件 | `mm.exe` | `C:\ProgramData\WindowsCache` 中的重命名 Mimikatz | | 恶意文件 | `svchost.exe`（伪造） | `C:\ProgramData\WindowsCache` 中的持久化载荷 | | 恶意文件 | `wupdate.ps1` | Temp 目录中的初始 PowerShell 攻击脚本 | | 恶意文件 | `export-data.zip` | 待泄露的压缩窃取数据 | | 恶意文件 | `WindowsUpdate.bat` | kenji.sato 下载目录中的隐藏批处理文件 | | 后门账户 | `support` | 攻击者创建并提升权限的本地后门账户 | | 计划任务 | `Windows Update Check` | 每日 02:00 作为 SYSTEM 执行的恶意计划任务 | | 暂存目录 | `C:\ProgramData\WindowsCache` | 攻击者工具和数据的暂存目录 | | 注册表项 | `HKLM\...\Defender\Exclusions\Extensions` | 排除 `.bat`、`.ps1`、`.exe` 的防病毒扫描 | | 注册表项 | `HKLM\...\Defender\Exclusions\Paths` | 暂存和 Temp 路径排除防病毒扫描 | | 被攻陷账户 | `kenji.sato` | 被利用的初始 IT 管理员账户 | | 被攻陷账户 | `fileadmin` | 通过凭证窃取获得的文件服务器管理员账户 | ### B. MITRE ATT&CK 映射 | 战术 | 技巧 | ID | 证据 | |---|---|---|---| | 初始访问 | 有效账户 — 暴力破解 | T1078 / T1110 | `kenji.sato` 从 `88.97.178.12` 被攻陷 | | 执行 | 命令与脚本：PowerShell | T1059.001 | `wupdate.ps1` — 执行策略绕过 | | 执行 | 命令与脚本：Windows 命令行 | T1059.003 | `WindowsUpdate.bat` 以隐藏标志执行 | | 持久化 | 创建账户：本地账户 | T1136.001 | 创建账户 `support` 并提升为管理员 | | 持久化 | 计划任务/作业 | T1053.005 | `schtasks` `Windows Update Check` — 每天 02:00 | | 防御规避 | 禁用防病毒 | T1562.001 | 注册表排除防病毒扫描 | | 防御规避 | 伪装 | T1036 | `mm.exe`、伪造的 `svchost.exe`、`wupdate.ps1` | | 防御规避 | 清除 Windows 事件日志 | T1070.001 | `wevtutil cl` 安全/系统/应用程序 | | 发现 | 系统网络配置发现 | T1016 | 执行 `ipconfig` 和 `arp` 命令 | | 凭据访问 | 操作系统凭据转储：LSASS | T1003.001 | `mm.exe` `sekurlsa::logonpasswords` | | 收集 | 归档收集的数据 | T1560.001 | 使用 PowerShell `Compress-Archive` 创建 `export-data.zip` | | 命令与控制 | 传输工具 | T1105 | 使用 `certutil` 从 C2 下载 | | 泄露 | 通过 Web 服务泄露 | T1567 | 使用 `curl.exe` 上传至 Discord 网络钩子 | | 横向移动 | 使用替代身份验证材料 | T1550 | `cmdkey` + `mstsc` 使用窃取的 `fileadmin` 凭据 | | 横向移动 | 远程桌面协议 | T1021.001 | `mstsc /v:10.1.0.188` | ### C. 调查时间线 | 时间（UTC） | 事件 | 详情 | |---|---|---| | 2025-11-19 早期 | 暴力破解开始 | 多次登录尝试针对 `kenji.sato`，来源 IP `88.97.178.12` | | 2025-11-19 早期 | 初始访问确认 | 成功登录 — `kenji.sato` 通过 RDP 认证 | | 2025-11-19 ~18:00 | 攻击脚本部署 | `wupdate.ps1` 从 C2 下载，使用隐藏 PowerShell | | 2025-11-19 18:49:27 | 防病毒程序规避 | 添加 Windows Defender 排除项，针对 `.bat`、`.ps1`、`.exe` | | 2025-11-19 18:49:29 | 路径排除添加 | 排除 WindowsCache 和 Temp 路径的 Defender 扫描 | | 2025-11-19 ~18:50 | 载荷下载 | `certutil` 下载 `mm.exe` 和 `svchost.exe` 至 WindowsCache | | 2025-11-19 ~19:00 | 侦察 | 执行 `ipconfig` 和 `arp` 命令进行网络发现 | | 2025-11-19 ~19:00 | 持久化 #1 | 创建账户 `support` 并加入 Administrators 组 | | 2025-11-19 ~19:10 | 凭据倾倒 | 执行 `mm.exe`，运行 `sekurlsa::logonpasswords` 倾倒 LSASS 内存 | | 2025-11-19 ~19:15 | 收集 | 在 `C:\ProgramData\WindowsCache` 创建 `export-data.zip` | | 2025-11-19 ~19:20 | 泄露 | 使用 `curl.exe` 通过 HTTPS 将 `export-data.zip` 上传至 Discord 网络钩子 | | 2025-11-19 ~19:25 | 持久化 #2 | 创建计划任务 `Windows Check` — 每天 02:00 作为 SYSTEM 执行 | | 2025-11-19 ~19:30 | 日志清除 | 使用 `wevtutil` 清除安全、系统和应用程序日志 | | 2025-11-19 19:05:11 | 横向移动侦察 | 执行 `cmdkey /list` 枚举保存的凭据 | | 2025-11-19 19:10:37 | 凭据暂存 | 使用 `cmdkey` 存储 `fileadmin` 凭据用于 `10.1.0.188` | | 2025-11-19 19:10:41 | 横向移动 | 执行 `mstsc /v:10.1.0.188` — 建立到文件服务器的 RDP 会话 | ### D. 关键调查查询 **查询 1：初始访问 — 登录事件** ``` DeviceLogonEvents | where DeviceName == "azuki-sl" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | sort by Timestamp asc | project AccountName, ActionType, LogonType, RemoteIP, RemoteDeviceName, RemotePort, RemoteIPType, IsLocalAdmin ``` **查询 2：防病毒程序排除 — 注册表扩展名** ``` DeviceRegistryEvents | where DeviceName == "azuki-sl" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | where RegistryKey contains "Windows Defender\\Exclusions\\Extensions" | sort by Timestamp asc | project Timestamp, RegistryKey, RegistryValueName, RegistryValueData, InitiatingProcessCommandLine ``` **查询 3：防病毒程序排除 — 路径** ``` DeviceRegistryEvents | where DeviceName == "azuki-sl" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | where RegistryKey contains "Windows Defender\\Exclusions\\Paths" | sort by Timestamp asc | project Timestamp, RegistryKey, RegistryValueName, RegistryValueData, InitiatingProcessCommandLine ``` **查询 4：载荷下载 — 进程命令** ``` DeviceProcessEvents | where DeviceName == "azuki-sl" | where AccountName == "kenji.sato" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | sort by Timestamp asc | distinct ProcessCommandLine ``` **查询 5：凭据倾倒工具** ``` DeviceFileEvents | where DeviceName == "azuki-sl" | where FolderPath contains "WindowsCache" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | project Timestamp, FileName, FolderPath, ActionType, InitiatingProcessCommandLine ``` **查询 6：数据泄露 — 网络事件** ``` DeviceNetworkEvents | where DeviceName == "azuki-sl" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | where InitiatingProcessAccountName == "kenji.sato" | where RemotePort == 443 | project Timestamp, RemoteUrl, RemoteIP, RemotePort, InitiatingProcessFileName, InitiatingProcessCommandLine | sort by Timestamp asc ``` **查询 7：事件日志清除** ``` DeviceProcessEvents | where DeviceName == "azuki-sl" | where FileName == "wevtutil.exe" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | where InitiatingProcessAccountName == "kenji.sato" | distinct ProcessCommandLine ``` **查询 8：横向移动** ``` DeviceProcessEvents | where DeviceName == "azuki-sl" | where Timestamp between (datetime(2025-11-19) .. datetime(2025-11-20)) | where InitiatingProcessAccountName == "kenji.sato" | where FileName in ("cmdkey.exe", "mstsc.exe") | project Timestamp, FileName, ProcessCommandLine, AccountName | sort by Timestamp asc ``` ### E. 证据参考 - **截图 1：** Windows Defender 注册表排除项，针对 `.bat`、`.ps1`、`.exe` 扩展名（UTC 18:49:27） - **截图 2：** Windows Defender 路径排除项，暂存目录和 Temp 目录 - **截图 3：** `wevtutil` 日志清除命令 — 安全日志首先被清除 - **截图 4：** `cmdkey` + `mstsc` 横向移动命令，显示目标 `10.1.0.188` *** **END OF REPORT — CONFIDENTIAL — FOR TRAINING PURPOSES ONLY*** *分析师：Ramzy Aboughlia | 日期：2026-04-10 | 事件 ID：IR-2025-001*

标签：AI合规, APT攻击, Azuki Import Export, C2通信, curl.exe, Discord传输, DNS 反向解析, IOC分析, IT工作站, LSASS内存提取, Mimikatz, PowerShell攻击, svchost.exe, wevtutil, Windows Defender排除, Windows后渗透, Windows服务后门, 事件日志清理, 企业威胁, 协议分析, 威胁情报, 子域名变形, 开发者工具, 恶意脚本, 数据外泄, 无线安全, 日志清除, 权限提升, 横向移动, 用户模式钩子绕过, 端点可见性, 编程规范, 网络安全审计, 计划任务持久化