网易首页 > 网易号 > 正文 申请入驻

EvilCorp把Python后门藏进假DLL,3层加密让分析师追了3周才现形

0
分享至


2026年初,瑞士InfoGuard Labs的安全团队在一台被勒索软件攻陷的服务器上,发现了一个连日志都查不到的持久化后门。它用Windows自带的Python解释器当启动器,把恶意代码塞进一个名为sitecustomize.py的启动文件里,每次开机自动运行,命令行却干干净净。

这个叫VIPERTUNNEL的后门,核心 payload 被包在三层加密里,最外层是个伪装成DLL的Python脚本——安全工具扫到它,只会当成普通库文件跳过。

InfoGuard Labs研究员Evgen Blohm带队复盘时,最初只注意到一个异常:计划任务里有个叫523135538的条目,每天静默调用C:\ProgramData\cp49s\pythonw.exe,不带任何参数。正常Windows环境不会这么用Python,但命令行没留痕迹,常规审计根本发现不了问题。

追查下去才摸到门道。攻击者篡改的sitecustomize.py是Python的自动加载模块,解释器每次启动必执行。它先用ctypes调用Py_GetArgcArgv确认无命令行输入——排除人工调试场景——再用runpy模块加载同目录下的b5y5yogiiy3c.dll

这个文件扩展名是幌子。内容其实是Python脚本,经过Base85编码、AES和ChaCha20双层加密,外加控制流扁平化处理。三层壳逐层在内存中解密、执行,最终释放的SOCKS5代理后门全程不落盘,直连443端口混在HTTPS流量里。

假DLL真脚本:扩展名欺骗如何骗过扫描工具

把Python脚本重命名为DLL不是技术突破,是对安全工具分类逻辑的精准打击。大多数EDR和杀毒引擎依赖文件签名和扩展名做初筛,.dll后缀触发的是库文件分析路径,而非脚本引擎。VIPERTUNNEL利用这个盲区,让自动化分析直接放行。

更隐蔽的是加载方式。runpy是Python标准库模块,专门用于以编程方式运行Python代码。用官方模块加载恶意脚本,行为特征和正常开发工具重叠,行为检测很难画线。

三层加密的设计明显针对人工逆向。Base85把二进制数据转成ASCII可打印字符,躲过基础字符串扫描;AES和ChaCha20双算法加密,即使分析师拿到密钥材料也要解两轮;控制流扁平化把原本线性的执行逻辑打散成状态机,反编译出来是一堆跳转表和循环,可读性接近于零。

InfoGuard Labs的报告中提到,单是剥开这三层壳,经验丰富的分析师就花了近三周。攻击者的目标不是防住自动化工具,是拖慢响应速度——只要后门多跑几天,数据外泄和横向移动就能完成。

SOCKS5隧道:为什么选443端口当掩护

VIPERTUNNEL的核心功能是为攻击者建立持久 socks 代理通道。SOCKS5协议本身不加密,但它能转发任意TCP/UDP流量,相当于在受害网络内部搭了一座桥。攻击者从外面连进来,可以像内网用户一样访问资源,而防火墙看到的只是正常的HTTPS出站连接。

443端口的选择经过计算。企业防火墙对HTTPS流量通常宽松处理,深度包检测成本高、误报率高,多数环境不会全开。VIPERTUNNEL把C2通信伪装成加密Web流量,既不触发端口告警,也不暴露明文特征。

这种"寄生在正常协议上"的策略,让网络层的异常检测几乎失效。流量看起来是浏览器在连网站,除非做TLS指纹分析或域名信誉核查,否则很难区分。

InfoGuard Labs将此次行动归因于UNC2165和EvilCorp。后者是被美国财政部制裁的老牌网络犯罪集团,以Dridex银行木马和BitPaymer勒索软件闻名。VIPERTUNNEL在他们的工具链里扮演"留守角色"——勒索软件引爆前,用它维持访问、窃取凭证、横向移动;赎金谈判破裂后,还能留着当二次入侵的后门。

同一框架养出两个工具:ShadowCoil的 credential 收割逻辑

调查过程中,InfoGuard Labs还发现另一个用相同混淆框架打包的恶意软件:ShadowCoil。这是个Python编写的凭证窃取器,专门翻Chrome、Edge、Firefox的本地存储,把保存的密码、Cookie、自动填充数据打包外传。

两个工具共享私有打包器,混淆模式高度一致。安全团队把这种"代码风格指纹"视为威胁集群的强关联指标——即使C2服务器不同、功能不同,同一批开发者写的混淆层骗不了人。

ShadowCoil的部署场景和VIPERTUNNEL互补。前者解决"拿到什么",后者解决"怎么持续拿"。先偷凭证扩大访问面,再搭隧道维持据点,是典型的企业网络渗透流水线。

Python作为攻击载体的趋势值得注意。它跨平台、解释执行、标准库丰富,而且很多企业开发环境本身就装了解释器。用pythonw.exe这种无窗口版本跑后台任务,系统管理员看到进程名也不会警觉——可能是某个内部脚本,可能是CI/CD组件,排查优先级天然靠后。

EvilCorp这套组合的关键创新不在某个单点技术,在"如何把合法工具链串成攻击链"。Python解释器是合法的,sitecustomize.py加载机制是设计特性,SOCKS5代理是通用协议,443端口是正常业务通道。每个环节单独看都没问题,拼在一起就成了绕过层层防御的隐蔽通道。

InfoGuard Labs建议企业做两件事:一是审计计划任务和启动项里调用解释器的行为,特别是无参数调用pythonw.exe的情况;二是监控sitecustomize.py等自动加载文件的完整性,这个文件默认不存在,突然出现就是红色信号。

但防御难度在于,攻击者可以换用其他自动加载点——usercustomize.pypth文件、甚至自定义的Python构建。只要企业环境依赖Python开发,完全封死自动加载机制就不现实。

EvilCorp的这套打法已经在至少两起勒索事件中被观察到。InfoGuard Labs没有披露具体受害方,但提到涉及欧洲中型企业的生产环境。VIPERTUNNEL的平均潜伏周期目前尚不清楚——分析师发现它时,后门已经跑了多久,是个没有答案的问题。

如果攻击者开始把这套框架移植到PowerShell或.NET的自动加载机制上,现有的检测规则还能跟上吗?

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
和黄圣依离婚后,杨子去娘家接娃,14岁安迪驼背自卑,9岁弟弟帅

和黄圣依离婚后,杨子去娘家接娃,14岁安迪驼背自卑,9岁弟弟帅

椰黄娱乐
2026-04-19 12:34:43
实力倒数第1?39岁丁俊晖爆发 7-2领先世界第25 已连续7年无缘8强

实力倒数第1?39岁丁俊晖爆发 7-2领先世界第25 已连续7年无缘8强

风过乡
2026-04-19 20:38:39
iPhone 18 Pro 多款新配色被泄露,确实好看!

iPhone 18 Pro 多款新配色被泄露,确实好看!

花果科技
2026-04-18 22:52:32
世上没有后悔药!下半身"贪婪"的任素汐,现状印证王菲评价

世上没有后悔药!下半身"贪婪"的任素汐,现状印证王菲评价

秋姐居
2026-02-27 17:16:02
无需磨合直接就打附加赛?广东宏远已出发前往客场,新外援还未飞往国内!

无需磨合直接就打附加赛?广东宏远已出发前往客场,新外援还未飞往国内!

廣東篮球掂
2026-04-19 12:56:13
郑丽文:访陆前后像变了一个人?是大陆给予了她定力与底气

郑丽文:访陆前后像变了一个人?是大陆给予了她定力与底气

浪子阿邴聊体育
2026-04-19 04:57:38
左小青这状态,鲨疯了!明媚动人,若隐若现

左小青这状态,鲨疯了!明媚动人,若隐若现

只要高兴就好
2025-12-10 19:09:26
“伤害性不大,侮辱性极强”!赛那稳坐MPV冠军,腾势D9跌至第七

“伤害性不大,侮辱性极强”!赛那稳坐MPV冠军,腾势D9跌至第七

小李子体育
2026-04-19 01:51:05
太可怕了!继注射药物、热巴事件后,王阳再揭娱乐圈最脏的一面

太可怕了!继注射药物、热巴事件后,王阳再揭娱乐圈最脏的一面

橙星文娱
2026-04-17 13:19:56
算力破局!磷化铟最正宗9家核心公司,概念股名单

算力破局!磷化铟最正宗9家核心公司,概念股名单

慧眼看世界哈哈
2026-04-19 16:32:37
小米 YU9 要来了,外观真的猛!

小米 YU9 要来了,外观真的猛!

花果科技
2026-04-17 13:44:41
伊朗放话将控制霍尔木兹海峡至战争终结 特朗普称其无法要挟美国

伊朗放话将控制霍尔木兹海峡至战争终结 特朗普称其无法要挟美国

极目新闻
2026-04-19 06:55:03
iPhone NFC,限制解除!

iPhone NFC,限制解除!

果粉俱乐部
2026-04-17 13:10:03
4大名帅候选曝光!那个人才是伯纳乌最想要的

4大名帅候选曝光!那个人才是伯纳乌最想要的

茅塞盾开本尊
2026-04-19 12:27:00
彻底怒了!俄军发动今年最大打击,乌克兰和北约遭重创

彻底怒了!俄军发动今年最大打击,乌克兰和北约遭重创

兵国大事
2026-04-18 18:17:27
22岁能跟小罗争辉的天才,24岁却与劳尔同病相怜,还被庸医坑惨了

22岁能跟小罗争辉的天才,24岁却与劳尔同病相怜,还被庸医坑惨了

足篮大世界
2026-04-19 17:53:44
普京访华前,拉夫罗夫带来关键承诺:中国缺的能源俄罗斯来补

普京访华前,拉夫罗夫带来关键承诺:中国缺的能源俄罗斯来补

纵拥千千晚星
2026-04-19 22:40:54
临危受命,三门伍德曼迎来利物浦生涯英超首秀

临危受命,三门伍德曼迎来利物浦生涯英超首秀

懂球帝
2026-04-19 22:47:08
广州豹3-0梅州 开局5轮4胜登顶中甲 图多列传射 20岁红星替补建功

广州豹3-0梅州 开局5轮4胜登顶中甲 图多列传射 20岁红星替补建功

我爱英超
2026-04-19 21:32:50
颠覆达尔文:智能不是进化出来的,它一开始就在

颠覆达尔文:智能不是进化出来的,它一开始就在

心中的麦田
2026-04-19 18:26:41
2026-04-19 23:32:49
薛定谔的BUG
薛定谔的BUG
有态度网友ytd
1565文章数 35关注度
往期回顾 全部

科技要闻

50分26秒破人类纪录!300台机器人狂飙半马

头条要闻

男子直播看得"心痒痒"贷款几十万赌石:不敢告诉老婆

头条要闻

男子直播看得"心痒痒"贷款几十万赌石:不敢告诉老婆

体育要闻

湖人1比0火箭:老詹比乌度卡像教练

娱乐要闻

张天爱评论区沦陷!被曝卷入小三风波

财经要闻

华谊兄弟,8年亏光85亿

汽车要闻

29分钟大定破万 极氪8X为什么这么多人买?

态度原创

健康
旅游
房产
公开课
军事航空

干细胞抗衰4大误区,90%的人都中招

旅游要闻

[视频]村里有了“小而美” 游客爱上“慢时光”

房产要闻

官宣签约最强城更!海口楼市,突然杀入神秘房企!

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

伊朗逼退美扫雷艇:美方求给15分钟撤退

无障碍浏览 进入关怀版