头脑风暴:想象一位职员在午休时打开 Outlook,轻点几下,就把公司机密的邮件往外输送;再想象另一位同事在更新系统时,因一个未打补丁的扫描器漏洞,被黑客暗中植入后门,悄然窃取内部凭证。两件看似不相关的安全事件,却在同一条“信息链”上相交——数据、凭证、访问。如果我们不在源头上强化安全意识,这条链条很快会被“断裂”,甚至被“逆向”。下面,让我们通过两个典型案例,揭开黑客的作案手法,进而探讨在当下信息化、数字化、智能化的工作环境中,职工应如何主动参与信息安全意识培训,提升自我防护能力。
案例一:ToddyCat 通过 “TCSectorCopy” 与 “SharpTokenFinder” 窃取 Outlook 邮件与 Microsoft 365 令牌
(一)事件概述
2025 年 11 月底,Kaspersky 发布技术报告,披露了活跃已久的 APT 组织 ToddyCat 最新的攻击手段。该组织利用自研工具 TCSectorCopy(亦称 xCopy.exe)以及开源脚本 SharpTokenFinder,在目标企业内部实现了两大核心目的:
- 盗取离线 Outlook 邮件(OST 文件)
- TCSectorCopy 直接以只读方式打开磁盘设备,逐扇区复制 Outlook 离线存储(OST)文件,规避了 Outlook 正在运行时的文件锁定机制。
- 复制完成后,攻击者使用开源工具 XstReader 解析 OST/PST,快速恢复邮件正文、附件以及内部通讯链路。
- 获取 Microsoft 365 OAuth 访问令牌
- 通过 SharpTokenFinder 对本地安装的 Microsoft 365 应用进行枚举,提取出明文的 JSON Web Token(JWT)。
- 若系统防护阻止了直接进程转储,攻击者进一步利用 Sysinternals 的 ProcDump 对 Outlook.exe 进行内存转储,随后提取出仍然驻留于内存中的访问令牌。
关键点:这两套技术分别从 存储层(OST)和 运行时层(JWT)两端切入,形成了对企业邮件系统的“全方位”渗透。
(二)技术细节剖析
- TCSectorCopy 的底层实现
- 采用 C++ 编写,调用
CreateFileW("\\\\.\\PhysicalDriveX", GENERIC_READ, FILE_SHARE_READ, …)直接打开磁盘物理设备。 - 通过
ReadFile按 512 字节扇区循环读取,直到定位到目标文件的起始簇并完整复制——这相当于在 “硬盘内部” 进行 “光盘拷贝”。 - 复制的 OST 文件随后被放置在攻击者控制的共享目录或外部 C2 服务器,等待进一步解密。
- 采用 C++ 编写,调用
- DPAPI 与密钥解密
- 由于 OST 文件本身在本地被 DPAPI(Windows Data Protection API)加密,ToddyCat 的工具会进一步提取用户的 SID、密码散列以及 DPAPI 主密钥(Master Key),完成本地解密。
- 这一步骤的成功,源于攻击者在 域控制器 上使用了特权账号执行任务,利用 SMB 共享读取远程工作站的
AppData\Roaming\Microsoft\Protect目录。
- SharpTokenFinder 与 ProcDump 的配合
- SharpTokenFinder 利用 C# 读取
Microsoft.Identity.Client项目在本地缓存的msal.cache文件,解析出明文的 OAuth 访问令牌。 - 当防病毒软件阻止文件读写时,攻击者改用 ProcDump(
procdump -ma -s 5 -c 10 Outlook.exe outlook.dmp)强制转储进程内存,然后使用自研脚本token_extractor.py提取 JWT。 - 获得的 JWT 往往拥有 Microsoft Graph 的完整访问权限,可直接读取用户邮箱、日历、OneDrive 文件等。
- SharpTokenFinder 利用 C# 读取
(三)危害评估
- 信息泄露:邮件往往包含项目进度、商业合同、合作伙伴信息,一旦被外泄,企业面临商业竞争劣势、合同纠纷甚至诉讼。
- 权限滥用:获取到的 JWT 具备 OAuth 2.0 授权范围,可在云端直接发起 API 调用,攻击者无需再渗透内部网络,即可实现 云端横向移动。
- 后期持久化:通过复制的 OST 与获取的令牌,攻击者可在不同时间点、不同地点重新进行登录,形成 长期潜伏。
(四)防御思路
| 防御层级 | 关键措施 | 实施要点 |
|---|---|---|
| 终端硬化 | 禁止普通用户对磁盘物理设备的直接访问(SeDiskOperatorPrivilege) |
通过组策略(GPO)撤销磁盘操作权限,仅在必要的运维场景下使用受控账户。 |
| 文件保护 | 对敏感目录(如 AppData\Roaming\Microsoft\Protect)启用 基于文件完整性监控(FIM) |
使用 Windows Defender 的 受控文件夹 或第三方完整性监控工具,及时发现异常读写。 |
| 凭证管理 | 采用 Microsoft Entra ID(Azure AD)条件访问 与 身份安全(Identity Protection)策略 | 要求 MFA、限制高风险登录来源、检测异常 OAuth 权限授予。 |
| 进程监控 | 对 Outlook.exe、ProcDump.exe 等高危进程实施 行为监控(EDR) |
设置规则:当非管理员账户调用 ProcDump 时立即告警并阻断。 |
| 安全培训 | 定期开展 邮件安全与凭证保护 的专题培训 | 让全体职工了解 OST 文件的敏感性、OAuth 令牌的风险及常见规避技巧。 |
案例二:利用 ESET 命令行扫描器(CVE‑2024‑11859)植入未公开恶意软件 TCESB
(一)事件概述
同样在 2025 年的安全报告中,研究人员披露了 ToddyCat 在 2024 年 4 月利用 ESET Command Line Scanner(CLS)漏洞(CVE‑2024‑11859,CVSS 6.8)进行初始渗透的手法。该漏洞允许攻击者在受影响的系统上以 任意代码执行(RCE)的方式植入一款此前未被公开的恶意软件,代号 TCESB(ToddyCat Embedded Stager & Beacon)。
TCESB 的特点:
- 多阶段加载:首次运行仅在系统临时目录写入加密载荷,随后通过计划任务持久化。
- PowerShell 变体:利用 PowerShell 脚本下载并执行远端 C2 服务器的二进制。
- 信息收集:收集浏览器(Chrome、Edge、Firefox)历史、Cookie、保存的凭证;并通过 SMB 将搜集的文件同步至内部共享,采用 DPAPI 加密后再传输。
(二)技术细节剖析
- CVE‑2024‑11859 漏洞本质
- ESET CLS 在解析特定的 XML 配置文件时,未对 外部实体(External Entity) 进行安全过滤,导致 XXE(XML External Entity) 注入。
- 攻击者可将外部实体指向本地脚本路径(
file:///C:/Windows/System32/evil.ps1),从而在扫描器运行时执行任意 PowerShell 脚本。
- TCESB 的加载链
- Stage 1:利用 ESET CLS 触发的 PowerShell 脚本在
%TEMP%目录生成svchost.exe伪装的载荷(实际为加密的二进制)。 - Stage 2:创建 计划任务(
schtasks /create /sc daily /tn "System Update"),调用powershell.exe -enc <Base64>以隐藏真实指令。 - Stage 3:通过
Invoke-WebRequest下载远端 C2 配置文件,在后台以 WMI 隐蔽执行持久化模块。 - Stage 4:采集浏览器数据后,使用本地 DPAPI 主密钥进行加密,再通过
robocopy或net use将数据写入内部文件共享\\fileserver\exfil\%COMPUTERNAME%.
- Stage 1:利用 ESET CLS 触发的 PowerShell 脚本在
- 隐蔽通信
- TCESB 使用 HTTPS(自签名证书)进行 C2 通信,且在 HTTP Header 中伪装为常规 Windows Update 流量,难以被传统的 IDS/IPS 检测。
- 同时,恶意代码会在每次系统启动时读取
HKCU\Software\Microsoft\Windows\CurrentVersion\Run键,确保 自启动。
(三)危害评估
- 横向渗透:通过 SMB 共享将收集的凭证同步至内部服务器,攻击者可进一步对域控制器进行 Pass‑the‑Hash 或 Kerberoasting。
- 数据外泄:浏览器 Cookie 与保存凭证的泄露,使得外部攻击者能够 伪装登录,获取云服务、内部系统的访问权。
- 持久化与复发:即便清除恶意进程,只要计划任务和注册表项未被清理,TCESB 仍会在下次启动时重新激活。
(四)防御思路
| 防御层级 | 关键措施 | 实施要点 |
|---|---|---|
| 应用层 | 对所有第三方安全工具(如 ESET CLS)实现 自动补丁管理 | 采用 WSUS 或 SCCM 统一推送补丁,确保 CVE‑2024‑11859 及时修复。 |
| 文件审计 | 对 %TEMP%、%APPDATA% 等目录的可执行文件写入进行 白名单 |
仅允许经过签名的合法程序写入执行文件,异常文件触发告警。 |
| 计划任务监控 | 使用 PowerShell Desired State Configuration (DSC) 或 Windows Event Forwarding 监控 TaskScheduler 关键事件 |
任何新建、修改计划任务的行为需经过安全审批。 |
| 网络分段 | 对内部文件共享采用 零信任 策略,仅限业务需要的主机访问 | 通过防火墙 ACL 限制 SMB 端口(445)跨子网通信。 |
| 安全培训 | 让员工了解 第三方安全软件 也可能被攻击者利用,提升对异常弹窗、异常任务的识别能力 | 通过案例教学,帮助职工辨别“系统更新”与“恶意任务”。 |
信息化、数字化、智能化时代的安全挑战
1. 云端服务的“双刃剑”
- 便利:Microsoft 365、Google Workspace 等 SaaS 让协作更高效。
- 风险:凭证与令牌在本地缓存,若泄露即能直接对云资源进行 API 调用。
- 对策:采用 Zero‑Trust 架构,强制 MFA,并利用 条件访问 限制高风险登录。
2. 自动化与脚本化的普遍化
- PowerShell、Python、Bash 成为日常运维必备工具。
- 同时也成为攻击者 “拳头”,通过脚本快速横向移动、数据渗透。
- 建议:对所有脚本执行设定 执行策略(PowerShell
Set-ExecutionPolicy RemoteSigned),并使用 代码审计 工具(如PSRule)进行静态检查。
3. 大数据与 AI 的双向渗透
- AI 助手(ChatGPT、Copilot)被用于生成钓鱼邮件、自动化社会工程。
- 同时,安全分析也在借助 AI 进行 威胁情报聚合、异常检测。
- 应对:对外部 AI 生成内容进行 可信度评估,对内部 AI 工具实施 访问控制 与 日志审计。
4. 终端多样化:PC、笔记本、移动设备、IoT
- 每类终端都有独立的攻击面,如 Android 设备的 恶意 APP、IoT 设备的 弱口令。
- 全员 必须接受统一的安全基线培训,了解 “最小权限原则” 与 “安全更新” 的重要性。
呼吁:让安全意识从“口号”变为“行动”
亲爱的同事们,信息安全不是 IT 部门的专属责任,更是一场全员参与的 “防守”。正如《论语》云:“工欲善其事,必先利其器”。我们每个人都是企业信息防线上的 “器”, 只有工具(技术、系统)足够安全,才能让工作顺畅进行。
为什么要参加即将开启的安全意识培训?
- 案例驱动:我们将把 ToddyCat 的真实攻击手法拆解成易懂的 情景剧,让你在“看剧”中学会辨识风险。
- 实战演练:模拟钓鱼邮件、恶意脚本执行、OAuth 令牌泄露等场景,现场演练 应急响应 与 报告流程。
- 技能提升:从基础的 密码管理、多因素认证,到进阶的 PowerShell 安全审计、云凭证保护,层层递进,帮助你成为 **安全合规的“守门员”。
- 奖励机制:完成培训并通过考核的同事,将获得公司内部 “信息安全徽章”,并有机会争夺 “最佳安全实践奖”(丰厚福利等你拿)。
一句话点题:安全不是一次性的“检查”,而是一场持续的“演练”。只有把安全意识灌输到每一次打开 Outlook、每一次点击链接的瞬间,才能让黑客的“渗透路径”无处可走。
实用安全锦囊(职工必备)
| 场景 | 常见威胁 | 防护要点 |
|---|---|---|
| 收发邮件 | 恶意附件、钓鱼链接、伪造发件人 | – 不随意打开未知附件; – 悬停查看链接真实地址; – 启用 S/MIME 加密签名。 |
| 使用云服务 | OAuth 令牌泄露、共享链接滥用 | – 开启 MFA; – 定期审查已授权的第三方应用; – 使用密码管理器生成随机强密码。 |
| 本地登录 | 密码重复使用、键盘记录器 | – 使用长度 ≥ 12、包含大小写、数字、特殊字符的密码; – 启用 Windows Hello / 生物识别; – 定期更换密码。 |
| 移动设备 | 越狱/Root、恶意 APP | – 仅在官方应用商店下载; – 开启设备加密、远程擦除; – 使用 MDM 管理。 |
| 终端脚本执行 | PowerShell 恶意脚本、自动化任务 | – 设置执行策略(RemoteSigned) – 对计划任务进行审计 – 使用 EDR 检测异常行为。 |
小贴士:每当你在工作中遇到“看起来像正常操作,但有点怪”的情形,请立刻截图并报告至信息安全部门。记住,“早发现、早报告、早处置” 是我们共同的防御法宝。
结语:让安全成为企业文化的底色
在信息化浪潮翻滚的今天,技术的进步带来便利,也敲响了危机的警钟。从 ToddyCat 的 OST 窃取 到 ESET 漏洞植入,我们不难看到,黑客的每一次“创意”背后,都离不开 人性弱点 与 安全盲区。只有当 全体员工 把安全意识内化为日常习惯,才能让这些“创意”失去落脚点。
让我们以本次培训为契机,携手打造 “人人懂安全、每时有防护”的企业氛围。正如《孙子兵法》所说:“兵者,诡道也”,而防御者的最高策略,就是让敌人没有机会使用诡道。愿每位同事都成为这座城墙上坚不可摧的“守望者”,为企业的数字资产筑起最坚固的长城!
信息安全,与你我同行。
昆明亭长朗然科技有限公司提供一站式信息安全服务,包括培训设计、制作和技术支持。我们的目标是帮助客户成功开展安全意识宣教活动,从而为组织创造一个有利于安全运营的环境。如果您需要更多信息或合作机会,请联系我们。我们期待与您携手共进,实现安全目标。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898