---

一、头脑风暴：三个“警世”案例

在撰写这篇文章之前，我先闭上眼睛，随意抛出几个关键词：区块链、指令控制、不可篡改、伪装服务器、AI 生成代码。灵感如潮水般涌来，脑海里立刻浮现出三起极具警示意义的真实安全事件。这三起案例不仅技术新颖、冲击力强，而且与我们日常工作环境有着千丝万缕的联系，正好可以作为切入点，引发大家的共鸣。

案例	关键技术 / 手段	影响范围	教训
1. Aeternum Botnet 将 C2 移植至 Polygon 区块链	使用智能合约在 Polygon 公链上发布指令，指令不可撤销、全网同步	全球数十万台感染主机，攻击者可随时下发恶意载荷	传统的“拔网线”式封堵已失效，防御需要从链上审计、流量监测层面入手
2. Glupteba 利用 Bitcoin 备份通道复活	将控制指令写入比特币交易 OP_RETURN，作为“后门”	在被 Google 抓获后仍能在几个月后恢复运营	单一删除手段不足，必须构建多维度威胁情报链
3. DeadLock 勒索软件借助 Polygon 智能合约实现代理轮换	将代理服务器列表加密后写入链上，感染主机动态获取	大量企业内部网络被横向渗透，数据被加密勒索	代理链路隐蔽、更新迅速，传统的黑名单失效

下面，我将依据这三起事件进行详细剖析，帮助大家从攻击者的思维方式、技术实现细节以及防御失误中获得深刻的认知。

---

二、案例深度解析

案例一：Aeternum Botnet —— 区块链即指挥中心

1. 背景概述

2026 年 2 月 26 日，俄罗斯安全公司 Qrator Research Lab 在监控地下论坛时，首次捕获到一种名为 Aeternum 的新型 loader。与传统的 C2（Command‑and‑Control）服务器不同，它将所有指令写入 Polygon（币安侧的侧链） 的智能合约中。每笔指令都是一次链上交易，公开、不可篡改且遍布全球数千节点。

2. 技术实现

• C++ 原生 loader：提供 x86/x64 双平台的二进制，感染后自动开启“区块链查询线程”。
• 智能合约指令模板：攻击者在面板上选择已有合约地址，填入 “command_type、payload_url、timestamp”等字段，系统将其打包成交易提交给 Polygon 网络。
• 链上查询方式：感染主机通过 JSON‑RPC 接口轮询多个节点（>50），解析最新的 EventLog，获取指令并下载对应的恶意 DLL、PowerShell 脚本或矿工程序。
• 费用模型：每次写入约 0.01 MATIC（约 0.01 USD），攻击者声称 1 USD 可支撑 100‑150 条指令，成本极低。

3. 安全影响

• 不可聚焦：传统的“域名封堵、IP 列入黑名单”失效，链上信息分布在所有节点上，无法单点清除。
• 指令即时化：据卖家宣称，“两到三分钟内可触达所有活跃僵尸”。这意味着防御方必须在毫秒级监测到异常流量才能阻断。
• 隐蔽性增强：因为所有流量都是合法的区块链 RPC 请求，普通的防火墙、IPS 难以区分正常查询与恶意指令获取。

4. 防御思考

1. 链上行为分析：部署对 Polygon RPC 流量的深度检测，监控异常高频的 eth_call、eth_getLogs 请求。
2. 行为制约：在终端安全产品中加入 “禁止直接访问公链 RPC” 的策略，所有必需的链上查询必须通过内部代理审计。
3. 威胁情报共享：将已确认的恶意合约地址、交易哈希上报至国家级 CTI 平台，实现跨企业的预警联动。
4. 沙箱化执行：对下载的 payload 采用多层沙箱、代码签名校验，阻断未签名或篡改的二进制。

---

案例二：Glupteba —— 比特币备份通道的顽强复活

1. 事件回顾

Glupteba 曾是 2010‑2021 年间活跃度最高的混合型 botnet，利用 HTTP、IRC、P2P 多渠道控制僵尸。2021 年，Google 通过一次大规模域名压制行动，使其感染率骤降 78%。然而，仅仅数月后，研究人员在比特币区块链的 OP_RETURN 中再次发现了该组织的指令备份。

2. 技术细节

• OP_RETURN 数据承载：每笔比特币交易可携带 80 字节的任意数据；Glutpeba 将 base64 编码的指令写入其中。
• 链上抓取逻辑：感染主机定时查询 blockchain.info 提供的 API，解析最近 N 笔交易的 OP_RETURN 字段，匹配预设的 “magic head”。
• 恢复机制：当主 C2 被切断后，僵尸自动切换到链上备份指令，重新下载控制脚本并恢复原有功能。

3. 教训与启示

• 单点失效不等于彻底灭活：攻击者总会准备“后路”。
• 跨链监控的必要性：不仅要关注传统网络流量，还要审计链上异常交易。
• 定期刷新资产映射：针对已知的备份地址，需要动态更新黑名单，否则会形成“盲区”。

4. 防御建议

• 链上指令特征库：建立比特币、以太坊等公链的恶意指令特征库，结合 SIEM 实时匹配。
• 限制外部区块链 API：企业内部应通过专用网关限制对外链查询，所有链上请求必须走审计日志。
• 提升恢复弹性：在端点防护中加入 “不可撤销的基线” 检查，一旦发现链上指令拉取即触发隔离。

---

案例三：DeadLock 勒索软件 —— 区块链驱动的代理轮换

1. 案情概述

2026 年 1 月 14 日，安全媒体披露 DeadLock 勒索软件的最新变种。不同于传统勒索软件固定的 C2，DeadLock 将 代理服务器列表 加密后写入 Polygon 智能合约。感染主机每次请求代理时，先从链上读取最新的代理 IP 与端口，实现“动态代理”功能。

2. 关键技术

• 代理列表加密：使用 AES‑256 对代理信息进行对称加密，密钥嵌入在 loader 中。
• 链上轮询：感染主机每 30 秒查询一次合约的 getProxyList()，获取最新的加密数据并本地解密。
• 费用与隐蔽：每轮代理更新仅消耗约 0.02 MATIC，且所有流量均表现为普通的 HTTP/HTTPS 请求，难以被传统 IDS 检测。

3. 风险扩散路径

1. 渗透内网：DeadLock 首先利用钓鱼邮件或漏洞利用取得外网入口。
2. 横向移动：通过链上代理，绕过内部防火墙，实现对内部服务器的直接 C2 通信。
3. 加密勒索：最终在目标机器上部署 AES 加密勒索 payload，锁定关键业务数据。

4. 防御对策

• 代理行为基线：对所有出站 HTTP/HTTPS 流量建立“正常代理使用模式”，异常高频切换即触发告警。
• 链上访问白名单：仅允许内部业务系统访问经过审批的区块链节点，其余所有链上 RPC 请求一律阻断。

  

• 加密流量检测：部署基于 TLS 指纹的流量识别，引入机器学习模型区分合法业务流量与异常链上查询流量。

---

三、当下的融合发展：数据化、智能体化、具身智能化

1. 数据化——信息是新的燃料

过去十年，企业数据量呈指数级增长。从 ERP、CRM 到工业控制系统（ICS），每一条业务记录都可能成为攻击者的敲门砖。数据资产的可视化、分类与分级 已成为安全治理的第一步。只有在数据全景图之上，才能精准定位异常行为。

2. 智能体化—— AI 助攻也为 AI 祸端

生成式 AI（如 ChatGPT、Claude）已经渗透到代码编写、日志分析、SOC 自动化等环节。然而，同样的技术也被不法分子用于快速生成恶意脚本、变形代码，甚至实现 “AI 驱动的攻击路径规划”。我们必须在技术使用上设立“人机协同”原则，所有 AI 生成的安全规则都必须经过人工复核。

3. 具身智能化—— 虚实交织的安全边界

随着物联网、边缘计算、XR（扩展现实）等具身智能设备的普及，安全边界从传统的“网络”向“感知、交互、执行”全链路延伸。每一台摄像头、每一个 AR 眼镜、每一台智能机器人 都可能成为信息泄露或被植入后门的入口。

4. 融合治理的四大抓手

维度	关键动作	预期效果
数据治理	建立统一的 数据标签体系；部署 DLP（Data Loss Prevention）在关键业务流中	减少敏感信息外泄、提高审计可追溯性
AI 安全	采用 AI 模型安全审计（如对抗样本检测、模型篡改监控）	防止模型被利用进行攻击、确保 AI 决策可信
边缘安全	在 Edge 节点部署微隔离 (micro‑segmentation)、使用硬件根信任 (TPM/SGX)	限制横向渗透、提升设备抗篡改能力
安全文化	持续 信息安全意识培训、设立 “红蓝对抗” 常规演练	让每位员工成为第一道防线、形成全员安全氛围

---

四、号召全员参与信息安全意识培训——共筑防御壁垒

1. 培训的目标与价值

• 认知提升：让每位同事了解最新的攻击手法（如区块链 C2、AI 生成恶意代码），清晰认识自身岗位可能面临的威胁。
• 技能赋能：通过实战演练，掌握 钓鱼邮件识别、异常流量自查、关键系统加固 的基本技巧。
• 行为转变：把“安全第一”从口号转化为日常习惯，如 强密码使用、双因素认证、定期补丁更新。

2. 培训形式与安排

环节	内容	时长	交付方式
开场科普	区块链 C2、AI 攻防全景	30 分钟	线上直播 + PPT
案例研讨	Aeternum、Glupteba、DeadLock 现场拆解	45 分钟	小组讨论 + 角色扮演
实战演练	Phishing 模拟、恶意流量捕获、终端隔离	60 分钟	虚拟实验室（Sandbox）
工具实用	使用 SIEM、EDR、TLS 检测脚本	30 分钟	现场演示 + 代码讲解
风险评估	业务系统安全自评、漏洞清单梳理	30 分钟	在线问卷 + 自动化报告
闭环回顾	关键要点抽查、答疑解惑	15 分钟	互动 Q&A

温馨提示：所有培训材料将在内部知识库永久保存，供后续查阅；完成全部模块的同事，将获得 信息安全卓越证书，并计入年度绩效。

3. 参与的奖励机制

• 个人层面：完成全部培训并通过考核者，可获得公司内部 “安全之星” 徽章，优先参与公司创新项目评审。
• 部门层面：部门整体完成率>90%将获得 安全预算加码，用于采购高级安全工具或组织外部渗透测试。
• 全员联动：若全公司在三个月内实现 安全事件报告率下降 30%，公司将组织一次 “安全主题团建活动”（如密室逃脱、CTF 竞赛），让大家在趣味中巩固所学。

4. 如何报名与获取帮助

• 登录公司 内部门户 → 安全培训中心，选择 “信息安全意识提升计划”，填写个人信息即可完成报名。
• 如在学习过程中遇到技术难题，可随时在 安全交流群（钉钉/企业微信）中@安全团队，我们将提供 1 对 1 辅导。
• 若发现疑似钓鱼邮件或异常流量，请立即使用 公司安全终端（已预装EDR）进行截图、日志导出，并提交至 Incident Response Portal。

5. 让安全成为竞争力的关键

在数字化、智能体化、具身智能化同步加速的今天，安全已不再是“成本”，而是企业竞争力的核心要素。每一次成功的防御，都意味着业务连续性得以保障、品牌声誉得以维护、客户信任得以加深。正所谓“兵者，国之大事，死生之地，存亡之道”，信息安全同样是企业的生死线。

让我们以案例警醒、技术拥抱、文化沉淀为三大抓手，全面推进信息安全意识培训，用每一位职工的觉悟与行动，筑起一道坚不可摧的防御之墙。

---

结束语
回望 Aeternum、Glupteba 与 DeadLock 的血肉之躯，它们都是 技术进步 与 恶意创新 的交叉产物。我们无法阻止技术的飞速发展，却可以通过教育、预防、快速响应让恶意行为止步于萌芽。请在接下来的培训中，带着好奇与责任感，用所学守护自己的工作、守护公司的数字资产，也守护这片不断向前的网络蓝海。

信息安全意识提升计划，期待与你共同开启！

昆明亭长朗然科技有限公司提供一站式信息安全咨询服务，团队经验丰富、专业素养高。我们为企业定制化的方案能够有效减轻风险并增强内部防御能力。希望与我们合作的客户可以随时来电或发邮件。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

---

前言：头脑风暴——想象三个惊心动魄的安全事件

在信息化浪潮中，安全隐患往往潜伏得比我们想象的更深、更狡猾。若要让全体职工产生强烈的危机感，必须先把最具震撼力的案例摆在眼前。下面，通过头脑风暴，挑选出三起近一年内在业界引起轩然大波的典型事件，并以此为出发点展开深入剖析。

案例一：Aeternum C2 Botnet 把指令写进 Polygon 区块链
2026 年 2 月，安全研究机构 Qrator Labs 披露，一款名为 Aeternum 的新型僵尸网络，抛弃了传统的域名或 IP C2 服务器，改用公共的 Polygon 区块链（以太坊侧链）作为“指令发布平台”。每一条攻击命令被包装成一笔链上交易，永久存储且不可篡改，受感染的主机只需轮询链上 RPC 接口即可获取最新指令。该模型实现了“几乎零成本、永久存在、不可追踪”的理想 C2 形态，令传统的域名拦截、服务器宕机等手段失效。

案例二：DSLRoot 住宅代理网络的硬件入侵
同期，Infrawatch 揭露了一支名为 DSLRoot 的地下服务，向美国境内的普通家庭提供专用笔记本硬件，植入自研的 Delphi 程序 DSLPylon，该程序能够枚举并远程控制宽带猫、路由器甚至 Android 设备。运营者利用这些被劫持的住宅宽带 IP，构建了一个跨州的 “住宅代理池”，为黑产提供高质量、低延迟的匿名通道。该网络已在 20 多个州部署约 300 台硬件，极大提升了 DDoS、垃圾邮件等攻击的隐蔽性。

案例三：ClickFix 攻击的 DNS 诱骗新花样
2025 年底，Microsoft 公开了一个新型 “ClickFix” 攻击手法。攻击者利用 DNS 解析漏洞，诱导受害者在浏览器或命令行中执行 nslookup 查询特制的恶意域名，从而触发后端服务器下载并执行恶意载荷。与传统的钓鱼链接不同，这种攻击不依赖显式的可疑 URL，而是隐藏在看似正常的 DNS 解析过程里，极易逃过用户的感知和常规安全防护。

---

案例深度剖析：从技术细节到防御缺口

1. Aeternum C2——区块链成为“隐形指挥部”

• 技术实现
  • 指令写入：攻击者使用 C++ 编写的 Loader，将命令（如下载恶意二进制、启动 RAT、执行加密算力任务）封装为加密的字节流，发送至 Polygon 的智能合约 setCommand() 方法。交易完成后，指令即永久写入区块链的状态树。
  • 指令读取：受感染主机通过公共 RPC 端点（如 https://polygon-rpc.com）调用合约的 getCommand()，获取加密 payload，再在本地解密执行。
  • 经济成本：据 Qrator Labs 估算，1 MATIC（约 0.4 USD）足以支持 100–150 条指令交易，几乎可以视为“免费”C2。
• 安全隐患
  • 不可删除：一旦指令写入链上，除非拥有对应钱包的私钥，否则任何人都无法修改或撤回，形成了“链上硬化”。
  • 跨境追踪困难：区块链节点分布全球，且多数节点采用匿名或混淆技术，传统的 ISP 监控、域名劫持手段难以发挥作用。
  • 检测难度：因为区块链流量与普通 HTTPS 请求无异，且多数组织的网络监控已将公开 RPC 视为可信流量，导致安全设备难以辨识异常。
• 防御建议
  1. 细粒度的 RPC 访问控制：对所有链上 RPC 流量实行白名单，仅放行业务必需的节点；对未知链上地址实施深度包检测（DPI）并结合行为分析。
  2. 异常行为监测：部署基于机器学习的进程行为监控，捕捉异常的链上查询频率、加密函数调用等异常特征。
  3. 内部安全审计：对所有开发者、运维人员的系统使用情况进行定期审计，防止内部人员被不法分子利用私钥进行链上操作。

2. DSLRoot 住宅代理——硬件“暗箱”与物理层面的信任危机

• 技术实现
  • 硬件植入：攻击者向美国消费者提供装配了专用 SSD 与低功耗 Intel NUC 的笔记本，预装 DSLPylon 程序。该程序在开机后即通过本地网络扫描天线发现路由器、光猫的管理接口。
  • 协议滥用：通过 ADB（Android Debug Bridge）接口，攻击者还能控制连接至同一局域网的 Android 手机，实现更灵活的流量转发。
  • 代理架构：所有被劫持的家庭宽带 IP 被加入内部的负载均衡池，向外部提供 HTTP/HTTPS、SOCKS5、甚至 TURN 中继服务。
• 安全隐患
  • 物理入口：传统的网络安全防线多聚焦于服务器侧，而 DSLRoot 将攻击点直接迁移到用户家庭终端，形成“从根基到枝叶”的全链路渗透。
  • 隐蔽性强：住宅宽带 IP 具备良好的声誉，常被 CDN、云服务误认为可信来源，进而帮助黑产逃避黑名单封禁。
  • 监管盲区：这些硬件往往通过电商平台、社交媒体进行“低价租赁”，监管部门难以追踪真实所有者。



• 防御建议
  1. 终端安全基线：在企业内部推行“零信任终端”原则，对外部网络的每一次接入都进行身份验证与完整性校验。
  2. 宽带供应链审计：与 ISP 合作，获取用户宽带 IP 的异常使用报告，重点监控住宅 IP 的大流量、异常端口访问。
  3. 硬件防护意识：对内部员工开展 USB、外部硬盘、移动设备的安全使用培训，杜绝在办公环境中使用来路不明的硬件。

3. ClickFix DNS 诱骗——“看不见的门”已经打开

• 攻击流程
  1. 攻击者在 DNS 服务器上植入特制记录，指向恶意的子域名 update.myoffice.com。
  2. 当受害者在命令行或脚本中使用 nslookup update.myoffice.com，解析过程返回的 IP 实际指向攻击者控制的 C2 服务器。
  3. 随后，脚本自动通过 curl、powershell 等命令下载并执行恶意 payload，完成横向渗透或持久化。
• 安全隐患
  • 正当工具被滥用：nslookup、dig 等系统自带工具本身不具备安全风险，导致安全防护在工具层面失效。
  • 链路混淆：DNS 流量往往被视为“低风险”，且在企业网络中默认放行，难以通过传统防火墙进行细粒度过滤。
  • 用户误操作：在大量 IT 自动化、配置管理脚本中，DNS 查询是常态操作，攻击者只需在关键节点植入一条恶意记录，即可实现“弹射式”攻击。
• 防御建议
  1. DNS 解析可信链：采用 DNSSEC、Domain Pinning 等技术，对关键域名的解析结果进行签名校验。
  2. 最小化脚本权限：对自动化脚本实行最小权限原则，限制网络访问范围，仅允许访问受信任的内部 DNS 服务器。
  3. 行为审计：在 SIEM 系统中加入对 nslookup、dig 等工具的调用频率与目标域名的异常检测规则。

---

信息化、智能化、自动化的融合背景——安全挑战的“新坐标”

过去十年，人类社会在 信息化（大数据、云计算）、智能化（大模型、Agent）、自动化（CI/CD、机器人流程自动化）三大浪潮的推动下，企业的业务边界被迅速扩展。从传统的局域网、单体应用，演进到跨云多租户、AI 驱动的决策系统。与此同时，攻击者也在同步升级：

• 链上作战：区块链的去中心化特性为攻击者提供了“永久指挥部”。
• 硬件渗透：IoT 与边缘计算设备的快速普及，使得“物理层面”成为新的攻击向量。
• 模型对抗：大模型在安全防御中的运用仍处于起步阶段，而同样基于模型的攻击（如 Prompt Injection）正以指数级速度蔓延。

《孙子兵法·计篇》云：“上兵伐谋，其次伐交，其次伐兵，其下攻城。” 在当今的网络空间，“伐谋”往往体现在信息泄露、社工诱导、供应链投毒；而“伐交”则是对协议、接口的滥用（如 ClickFix）。我们必须意识到，防御已经不再是“筑城防御”，而是“守心防线”。

所以，提升每位职工的信息安全意识，已不只是 IT 部门的职责，而是全员的共同使命。只有让安全意识像 “防微杜渐、未雨绸缪” 般根植于每一次键盘敲击、每一次文件上传、每一次脚本执行之中，才能在“链上暗潮”与“地下硬件”面前保持主动。

---

号召：加入即将开启的全员信息安全意识培训

为帮助公司全体员工在信息化、智能化、自动化的浪潮中保持清醒、筑牢防线，信息安全意识培训 将在 2026 年 3 月 15 日（周二） 正式启动。培训内容包括但不限于：

1. 区块链与智能合约安全：讲解链上指令的隐蔽性、如何识别异常链上交易、企业级 RPC 访问控制最佳实践。
2. 硬件供应链与物联网防护：揭秘住宅代理网络的工作原理，教你在办公环境中辨别潜在的硬件危害。
3. DNS 与协议层防御：演示 ClickFix 攻击的完整复盘，提供 DNSSEC、域名钉扎的实际配置指南。
4. AI 与模型安全：介绍 Prompt Injection、对抗式样本的概念，以及在使用大模型时的安全限流措施。
5. 安全运营实务：从终端防护、日志审计、行为分析到应急响应，构建全链路的防御体系。

培训方式
– 线上直播 + 现场研讨：兼顾灵活性与互动性。
– 案例驱动、情景演练：通过真实案例（包括本篇提及的三大事件）进行实战演练。
– 认证考核：培训结束后进行知识测评，合格者颁发《信息安全意识合格证》，计入年度绩效考核。

参与收益
– 提升个人竞争力：安全意识已成为岗位必备软技能，获得认证将为职业发展加分。
– 降低组织风险：全员防范可以把“人因漏洞”降低至最低，显著提升企业的安全成熟度。
– 共建安全文化：通过共同学习、讨论，使安全理念渗透到部门协作、项目开发的每一个细节。

正如《论语·为政》所言：“君子务本，省吾身。” 在信息安全的道路上，我们每个人都是 “君子”——务本于防护、务实于学习，只有这样才能在瞬息万变的威胁环境中立于不败之地。

---

结语：让安全成为每一天的“必修课”

从 Aeternum 的区块链指令，到 DSLRoot 的住宅硬件渗透，再到 ClickFix 的 DNS 诱骗——这三起案例共同告诉我们，攻击者的技术路径正在向更高层次、更深层次渗透。而我们的防御，必须同步提升认知层次、技术手段与组织治理。

请大家 积极报名，把握这次提升自我的机会，让信息安全意识从“口号”转化为“行动”。我们相信，每一位职工都能成为公司安全的第一道防线，共同守护企业的数字资产、品牌声誉以及每一位用户的信任。

让我们在 “防微杜渐、未雨绸缪” 的信念指引下，携手共筑新时代的信息安全长城！

昆明亭长朗然科技有限公司重视与客户之间的持久关系，希望通过定期更新的培训内容和服务支持来提升企业安全水平。我们愿意为您提供个性化的解决方案，并且欢迎合作伙伴对我们服务进行反馈和建议。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898