現代資安威脅已進化為長期的隱蔽潛伏,駭客擅長利用 svchost.exe 等合法系統程序掩護惡意行為。透過 NEITHNET 針對政府、大專院校與物流業的資安健診實測,本文揭露四大辨識關鍵:1. 監測異常執行路徑與 RDP 連線、2. 清查偽裝成 IE RSS 或開發工具的惡意排程、3. 封鎖 Tor 匿名網路連線並修正 Linux 提權漏洞(如 ptrace_scope)、4. 管制 Shadow IT 與修補 WinRAR 等高風險軟體漏洞。
定期進行行為基準分析,能幫助企業在威脅爆發前主動揪出潛伏者,落實風險根除。
在現代資安威脅環境中,駭客的攻擊手法已從單純的病毒植入轉化為更難被察覺的潛伏行為。這些潛伏者往往利用系統內建的合法工具或常見軟體作為掩護,避開傳統防毒軟體的偵測。透過近期NEITHNET針對A公務機關、B大專院校及C物流公司所進行的資安健診結果,我們可以歸納出如何從大量事件中辨識出這些隱蔽威脅。
一、 合法程序下的異常行為:以svchost.exe為例
潛伏者最常見的手段是利用系統核心程序進行非法連線。在多份健診報告中,svchost.exe(系統服務主機)均被標註為異常行為的核心。
● 異常連線行為:在A公務機關的案例中,偵測到透過 svchost.exe 向本機 3389 Port (RDP) 進行連線的紀錄,C物流公司也發現了相似的內部 RDP 連線行為
● 異常執行路徑與父程序:在B大專院校的案例中,偵測到 svchost.exe 位於非標準的 ASUS 軟體目錄下,且父程序為 AsHookDevice.exe。
資安健診的價值在於不只看「程式名稱」,更會檢視其執行路徑與父子程序關係,藉此揪出偽裝成系統服務的惡意代碼。
二、 持久化隱藏手段:潛伏在排程工作與服務中
為了在重開機後仍能夠存活,潛伏者常在「工作排程」中留下後門。
老舊組件的利用:
A公務機關與B大專院校皆發現
IE RSS 閱讀器 (User_Feed_Synchronization) 的排程被異動,此功能因具備自動下載內容的特性,易被駭客利用來將 URL 指向惡意網站。
● 未知與亂數命名排程:
C物流公司偵測到名為 alFSVWJB 的未知排程,其執行路徑位於使用者資料夾 (Roaming) 下,這類無規則命名的檔案通常是惡意程式為規避特徵碼掃描而生成的變體。
● 偽裝成一般程式:
A公務機關發現如 javatask、JAVAService 等看似開發工具的未知排程與服務,路徑卻指向
programdata 目錄,具備極高的潛伏嫌疑。
三、 系統弱點與隱密通道:提權與Tor連線
潛伏者除了躲藏,還會尋求擴大權限或建立隱密的外連通道。
● Linux
系統提權風險:
在A公務機關與B大專院校的
Linux 伺服器中,均發現 ptrace_scope 設定為
0。此設定若無開發需求卻未關閉,可能被惡意利用進行特權提升 (Privilege Escalation) 或 Shell 程式碼注入攻擊。
● 隱密連線 (Tor Node): B大專院校的報告指出有主機連線至 Tor node 情資 IP (Port 9002)。這類連線通常是為了避開監測,將內部敏感資料透過匿名網路傳回駭客控制端。
四、 Shadow IT 與漏洞軟體:潛伏者的登陸點
員工私下安裝的軟體 (Shadow IT) 常成為潛伏者的破口。
● 高風險遠端工具:
三個單位皆存在 AnyDesk、TeamViewer 或 Chrome Remote Desktop 等工具,若上述軟體未列入公司管制,極易成為被駭客接管作為進入內網的跳板。
● 過時軟體漏洞:
多份報告均強調了 WinRAR 版本過舊的問題,其含有的
CVE-2025-8088 等漏洞,能讓潛伏者在使用者解壓縮檔案時就執行惡意程式。
五、
總結與建議:
識別隱匿性資安威脅不應侷限於特徵碼的比對,必須落實行為基準的建立。透過資安健診深度分析異常執行路徑、外部可疑連線、未授權排程任務及系統核心參數之變動,組織方能建構主動偵測能量,確保在威脅爆發前完成風險清零與根除。
建議組織採取以下措施:
1. 降低攻擊面: 移除不必要的 IE 排程,並將 Linux 的
ptrace_scope 調整至安全設定值。
2. 軟體管制: 將遠端連線軟體與通訊軟體列入白名單實施管制,避免未知或惡意軟體潛伏。
3. 弱點管理: 針對含有已知漏洞的軟體(如 WinRAR)進行強制更新。
透過週期性的行為檢測,組織能有效識別潛在威脅,確保隱匿性風險在演變為實質損害前得以落實控管。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
