重点目录异常文件与落地载荷关联分析

重点目录异常文件与落地载荷关联分析

0x02电子取证/重点文件目录检查 解决的是“去哪些目录看、用什么命令列出来”。到了 0x03取证分析,真正需要沉淀的是:

  • 某个文件为什么出现在这个目录里
  • 它是攻击工具、业务文件、更新产物,还是中间落地载荷
  • 文件时间、路径、名字、签名、父进程、访问痕迹组合起来,能判定到什么程度
  • 什么样的文件落点更像攻击者 staging,而不是普通用户操作

重点目录分析的价值,不是“多列几个可疑文件”,而是把文件落点语义翻译成攻击链结论。

0x01 这篇对应 0x02 里的什么内容

这篇文章主要承接 重点文件目录检查 里的这些证据入口:

  • Linux 的 /tmp/var/tmp/dev/shm、用户家目录、SSH 路径
  • Windows 的 %TEMP%ProgramDataRecentPrefetchAmcache
  • 下载目录、最近访问目录、临时目录、系统工具目录

因此本文不再重复“怎么列目录”,而是假定你已经拿到:

  • 文件路径清单
  • 文件时间戳
  • 文件大小、扩展名、哈希
  • Prefetch / Amcache / Recent 等旁证

分析的核心,是解释这些结果。

0x02 先按“落点语义”给文件分型

1. 临时落地型

常见路径:

  • %TEMP%
  • %TMP%
  • C:\Windows\Temp
  • /tmp
  • /var/tmp
  • /dev/shm

这类位置更像:

  • 一次性投放
  • 解压中间文件
  • 下载器落地
  • 短时执行载荷

2. 长驻伪装型

常见路径:

  • C:\ProgramData
  • C:\Users\Public
  • %AppData%
  • 隐蔽子目录

这类位置更像:

  • 持久化组件
  • 远控本体
  • 代理/隧道工具
  • 被伪装成正常系统或软件文件的驻留体

3. 投送中转型

常见路径:

  • 下载目录
  • 桌面
  • 共享目录
  • Web 根目录

这类位置往往和:

  • 用户点击执行
  • 脚本转存
  • 横向投送
  • 通过浏览器、网盘、邮件落地

关系更强。

4. 业务混杂型

常见路径:

  • 正常业务程序目录
  • 发布目录
  • 运维脚本目录

这类最容易误判,分析时不能只因路径“正规”就放行,也不能只因出现在业务目录就直接写成后门。

0x03 命令结果如何解释成落地结论

1. 文件落在 %TEMP%Windows\\Temp/tmp,且很快被执行,更像一次性载荷

如果结果类似:

C:\Windows\Temp\adobe_update.exe
Created: 2026-06-15 01:14:22
Modified: 2026-06-15 01:14:22
Executed shortly after

更适合的分析结论是:

  • 这是高风险临时落地文件
  • 时间戳高度集中,说明它更像被快速投放和执行
  • 如果再结合 Prefetch、Amcache、4688 或 Sysmon 进程创建,可上升为“落地并执行成立”

CYFIRMA 和多家厂商近年的公开报告都反复提到,攻击者偏好把恶意文件落在 ProgramDataTempAppData\Local 这类“看起来普通、权限友好”的目录,以降低显眼程度。

2. 文件名伪装成更新器、系统组件,但路径不对,风险往往比名字更重要

例如看到:

C:\ProgramData\svchost.exe
C:\Users\Public\updater.exe
C:\Windows\Temp\OneDriveUpdate.exe

分析时不要被名字带偏。更合理的判定是:

  • 名称像系统/软件组件,但路径不符合正常安装习惯
  • 这是典型的“名称伪装 + 路径异常”组合
  • 如果同时无有效签名、无正常安装来源、无厂商发布链,就应优先按恶意落地看待

3. 文件落在 ProgramData 后长期存在,且被自启动引用,更像驻留而非中间产物

如果结果显示:

C:\ProgramData\lsass.exe
Created: 2026-06-14 22:03:10
Run key / service / task references observed

更适合的分析结论是:

  • 该文件不是单纯下载缓存
  • 它已进入持久化链
  • 如果同时有网络连接、服务安装、计划任务、RDP/SMB 扇出,这种文件更像远控或横向组件

The DFIR Report 在多起案例中都提到攻击者把 Beacon、代理或辅助工具伪装后落在 ProgramData,再通过服务、任务或 RunKey 引用,这种“目录 + 持久化引用”的组合比单个 IOC 更有分析价值。

4. Prefetch 里有对应 .pf,说明“执行过”的证据强于“存在过”

如果你看到:

ADOBE_UPDATE.EXE-3A4F21B2.pf

更合理的分析结论是:

  • 该二进制至少在本机被执行过
  • 比单纯文件存在更能证明攻击链向前推进了一步
  • 但仍需结合 Prefetch 时间、进程日志和原文件路径,避免把历史旧执行误判成本次事件

也就是说:

  • 文件存在 = 可能投放
  • Prefetch/Amcache 记录 = 更接近执行成立

5. Amcache / Recent / Download 痕迹同时命中,说明“引入来源 -> 落地 -> 执行”链更完整

如果结果组合是:

  • 浏览器下载目录出现 invoice.iso
  • %TEMP% 出现解包出来的 run.dll
  • Amcache 中出现该 DLL/EXE
  • Recent 或 LNK 中有点击痕迹

那么这已经不只是“发现异常文件”,而更适合表述为:

  • 文件通过用户交互或浏览器投放进入主机
  • 后续在临时目录解包/落地
  • 已发生执行

这类链条在 DFIR Report 关于恶意 ISO 落地到域控勒索的公开案例中非常典型:ISO、LNK、Temp、任务、Rundll32 等痕迹是串起来看的,不是孤立看的。

0x04 Linux 重点目录结果应该怎么判

1. /tmp 出现 ELF、脚本、压缩包,更像即时执行或中转

如果看到:

/tmp/k.sh
/tmp/fscan
/tmp/update.tar.gz

更合理的分析结论是:

  • 这些对象更像临时投送和即时执行产物
  • 若时间集中,且随后被删除、加权限或网络外联,则可上升为攻击链中间载荷

2. /dev/shm 出现可执行文件,比 /tmp 更值得警惕

因为:

  • 它是内存文件系统
  • 一些攻击者会利用它降低磁盘残留

如果在 /dev/shm 看到 ELF、脚本、解压文件或 socket,更适合直接提升风险级别。

3. 家目录下隐藏文件夹和异常 SSH 相关文件,更偏长期驻留

例如:

/home/app/.cache/.x
/home/app/.ssh/authorized_keys (recently modified)

比起普通临时脚本,这类更像:

  • 隐蔽驻留
  • 凭据扩散
  • 后续重连入口

0x05 哪些结果更像中间产物,哪些更像最终恶意组件

1. 中间产物的典型特征

  • 名字随机
  • 时间戳高度集中
  • 文件存在时间短
  • 常伴随压缩包、脚本、解压目录
  • 不一定有持久化引用

2. 最终恶意组件的典型特征

  • 路径稳定
  • 会被服务/任务/RunKey/快捷方式引用
  • 后续还有网络连接
  • 删除意图更强,或长期保持伪装

这个区分很重要,因为:

  • 中间产物更适合解释“攻击者做了什么步骤”
  • 最终组件更适合解释“攻击者靠什么持续控制”

0x06 三个高频误判边界

1. 在 Temp/ProgramData 看到文件,不等于一定恶意

正常软件、安装包、更新器也会使用这些目录。真正要看的是:

  • 路径是否合理
  • 名字是否伪装
  • 是否有厂商签名
  • 是否有正常安装来源
  • 是否有进程、持久化、网络行为配合

2. 文件名像黑客工具,不等于它就是本次实际使用的工具

有些环境里会留有安全人员、运维、历史测试文件。没有执行痕迹、没有时间线、没有相关行为时,不宜直接下结论。

3. 文件被删了,不等于它没发挥作用

如果:

  • Prefetch 还在
  • Amcache 还在
  • 日志里还有执行
  • 回收站或未分配空间还能恢复

那它依然足以构成“曾落地并执行”的结论。

0x07 如何把重点目录结果串进攻击链

场景一:下载投放链

  1. 下载目录出现异常文件
  2. Temp 目录出现解包/落地文件
  3. Prefetch/Amcache 证明执行
  4. 后续出现 C2 或横向

场景二:横向投送链

  1. 共享目录或 ProgramData 出现可疑载荷
  2. 目标主机出现服务/任务引用
  3. 文件名伪装为正常组件
  4. 后续继续对外或对内连接

场景三:清痕收尾链

  1. 临时目录出现工具和脚本
  2. 执行成立
  3. 文件被删除
  4. 回收站、未分配空间、Amcache/Prefetch 留下残留

0x08 和其他分析篇怎样联动

这篇最适合和以下文章联动:

0x09 公开资料与分析借鉴

下面这些资料适合继续深挖:

这些公开材料最值得借鉴的点是一致的:恶意文件真正有价值的不是名字,而是落点、时间、执行证据、持久化引用和后续网络行为。

0x0A 建议的交付结构

重点目录文件分析结果建议整理为如下表格:

时间路径文件辅助证据结论
01:14:22%TEMP%adobe_update.exePrefetch/4688临时落地并执行
01:16:03C:\ProgramDatalsass.exe服务/RunKey/网络连接驻留型远控组件
01:18:44下载目录invoice.iso浏览器下载记录/LNK初始投放载体
01:20:02/tmpfscanshell history/外联横向或探测工具
01:22:31%Recent%tool.lnkAmcache/Recent用户交互执行痕迹

0x0B 总结

重点目录分析的关键,不是证明“这里有个可疑文件”,而是要回答:

  • 这个文件为什么在这个目录
  • 它是投放载体、中间产物,还是长期驻留组件
  • 它有没有被执行
  • 它在攻击链里对应下载、解包、持久化、横向还是清痕哪一环

当你把路径语义、时间戳、执行旁证和后续行为串起来时,0x02 里的“重点文件目录检查”才真正升级成 0x03 的“落地载荷与目录语义分析”。