2025年单年700+起确认攻击,Qilin从无名小卒变成史上最高产的勒索软件团伙之一。它的最新招数不是更凶的加密算法,而是——偷看Windows的远程桌面登录日志。
从边缘到主流:两年半的跃迁
2022年7月,Qilin首次现身时几乎无人注意。这个又名Agenda的勒索软件即服务(RaaS)组织,当时只是俄罗斯地下生态中又一个新面孔。
转折发生在2023年。该团伙全年宣称发动45起攻击,开始将触角伸向医疗、制造、金融和政府机构等关键基础设施领域。伦敦NHS医院、美国县级政府系统相继中招——没有行业是安全的。
到2025年,Qilin的年攻击量已突破700起,成为有记录以来最高产的勒索软件运营者之一。这种指数级增长背后,是一套不断精进的"低可见度"作战手册。
初始入侵手段相当常规:鱼叉式钓鱼邮件、已知软件漏洞利用、滥用远程监控与管理(RMM)工具。真正的功夫花在进门之后。
事件现场的发现:一条PowerShell命令
Hexastrike信息安全研究员Maurice Fielenbach近期在一台被攻陷的服务器上捕捉到了Qilin的侦察动作。攻击者执行了一条针对Windows终端服务日志的查询指令。
具体而言,他们使用PowerShell提取Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational日志中的所有事件ID 1149。该事件类型专门记录远程桌面连接请求的接收情况。
「这条单一命令让攻击者清晰掌握了哪些账户在该主机使用过远程桌面、哪些客户端系统曾连接进来,以及哪些账户具备足够权限值得作为下一个目标。」Fielenbach的观察揭示了Qilin的横向移动前置步骤。
命令的实际投递渠道同样值得注意:攻击者通过 rogue ScreenConnect 安装包将脚本植入目标系统。这种合法的远程支持工具被武器化后,成为隐蔽的载荷传递管道。
为什么选Event ID 1149:日志即武器
Event ID 1149并非什么秘密武器——它是Windows内置的日志机制,记录每次远程桌面连接请求的源IP、用户名、域名和时间戳。对企业IT部门来说,这是日常排障的常规数据源。
Qilin的精妙之处在于视角转换:将防御者的审计工具变成攻击者的网络测绘仪。
传统勒索软件的横向移动往往依赖Active Directory枚举工具或网络扫描器,这些行为触发安全告警的概率极高。相比之下,读取本地事件日志几乎不会产生任何异常流量,现有安全栈对此类操作缺乏敏感。
通过单次查询,攻击者即可构建三维度情报:账户活跃度(谁常用这台机器)、网络拓扑(哪些客户端连进来)、权限层级(谁可能是域管或高价值目标)。这种"以逸待劳"的侦察策略,将攻击者的暴露面压缩到极限。
双重勒索的施压逻辑
Qilin采用双重勒索模式:加密数据的同时威胁公开泄露,迫使受害者在业务中断和声誉毁灭之间做选择。这种设计大幅提升了赎金支付率。
而RDP日志枚举技术直接服务于这一商业模式的效率最大化。更快的横向移动意味着更短的在网时间,减少被检测拦截的概率;更精准的高价值目标定位则确保加密和窃取的数据具备足够议价能力。
医疗系统、政府档案、制造业设计图纸——这些受害者的共同点是数据敏感度高、恢复时间窗口窄、公众关注度强。Qilin的受害者选择并非随机,而是对勒索经济学的高度算计。
Living-off-the-land的进化
Qilin的战术演进映射出勒索软件行业的整体转向:从"破门而入"到"潜伏渗透"。
该团伙大量使用living-off-the-land技术——滥用目标系统自带的合法工具完成攻击链各环节。PowerShell、Windows事件查看器、ScreenConnect等原生或常见组件成为首选武器,攻击行为与正常运维活动的边界被刻意模糊。
这种策略的经济性显而易见:无需开发定制恶意软件,降低被特征码检测的风险;利用目标环境的既有配置,减少适配成本;即使单点暴露,也难以追溯至特定威胁组织。
Event ID 1149的利用是这一思路的极致体现。它不是漏洞,不是配置错误,只是Windows按设计运行的正常功能。防御者无法通过"修复"来消除风险,只能改变监控和响应的假设。
时间线复盘:关键节点
2022年7月:Qilin首次出现,初期关注度极低。
2023年:攻击节奏显著加速,全年45起宣称攻击,关键基础设施成为重点目标。
2024-2025年:技术战术持续迭代,living-off-the-land技术深化,年攻击量突破700起。
2025年(近期):Fielenbach发现RDP日志枚举技术,标志侦察阶段的进一步精细化。
这条时间线的陡峭程度说明,Qilin并非静态的威胁实体,而是持续学习、快速迭代的运营组织。其RaaS模式可能加速了这种进化—— affiliate网络中的成功实践被快速吸收到核心工具包。
防御侧的结构性困境
Qilin的RDP日志技术暴露了一个深层问题:企业安全架构的设计假设与当代威胁模型的错位。
传统检测体系聚焦于"坏程序"——恶意软件特征、异常网络流量、已知攻击指标。但面对滥用合法工具、读取合法日志的攻击者,这套框架出现盲区。
Event ID 1149的查询本身无害,有害的是查询者的身份和意图。这意味着防御需要从"行为是否异常"转向"行为是否由异常主体执行",从静态规则转向动态上下文分析。
更棘手的是权限困境。远程桌面日志的读取权限通常属于普通管理员或运维账户,而这些账户正是Qilin优先瞄准的目标。攻击者一旦获取此类凭证,便获得了在"正常行为"掩护下自由侦察的通行证。
技术细节的商业映射
将Fielenbach的发现翻译为产品语言:Qilin正在把"网络侦察"从一项需要专门工具的技能,降维成一条可复制、可分发、低门槛的标准操作程序。
这对勒索软件即服务生态的扩张具有乘数效应。技术能力较弱的affiliate无需理解PowerShell语法或Windows日志结构,只需执行标准化脚本即可获得高质量的目标情报。运营门槛的降低直接转化为攻击规模的扩大——700+年攻击量或许只是开始。
ScreenConnect的滥用同样指向供应链和工具信任链的脆弱性。合法远程支持软件在企业环境的普遍存在,使其成为理想的载荷投递渠道。用户训练有素地信任这些工具,安全产品往往将其列入白名单,攻击者利用的正是这层"默认信任"。
为什么这件事重要
Qilin的RDP日志枚举不是技术突破,而是战术意识的升级。它证明勒索软件运营者正在系统性地研究企业环境的日常运维数据,将防御者的可见性基础设施反向武器化。
这种转变的深层影响在于:安全与效率的权衡空间被进一步压缩。企业依赖远程桌面和详细日志进行运维,这些工具不能简单禁用;但它们的正常使用又为攻击者提供了完美的掩护。防御者被迫在"监控一切"的成本和"被静默渗透"的风险之间寻找新平衡。
更宏观地看,Qilin的演进轨迹揭示了网络犯罪工业化的成熟度。从2022年的边缘角色到2025年的顶级威胁,其背后是RaaS商业模式、living-off-the-land战术库、以及持续运营优化的复合效应。这不是单一技术的胜利,而是组织学习能力的体现。
当攻击者开始像产品经理一样迭代工具、像数据分析师一样挖掘日志、像运营专家一样优化成本,防御侧的响应速度和能力建设是否跟上了这种专业化进程?
热门跟贴