摘要进入2026年网络安全领域正面临由人工智能AI驱动的新一轮威胁变革。本报告旨在深入剖析一个近期由卡巴斯基实验室Kaspersky披露的新型高级持续性威胁APT组织——Armored Likho。该组织以其高度的隐蔽性、先进的技术栈和明确的攻击目标对全球范围内的政府及能源部门构成了严重威胁 [[1]]。Armored Likho的核心攻击武器库包括其定制化的信息窃取工具BusySnake Stealer以及一个利用大型语言模型LLM等AI技术生成的、具备高度多态性和规避性的恶意软件加载器。本报告将全面解析Armored Likho的攻击生命周期从初始入侵的钓鱼邮件阶段到AI生成加载器的执行与防御规避再到最终载荷BusySnake Stealer的部署与数据窃取。我们将提供BusySnake Stealer的详细技术指标IOCs、YARA检测规则并首次提出针对AI生成恶意软件加载器的静态与动态分析特征识别方法。最后报告将提供一套面向企业安全团队的邮件安全加固策略并附上一份专为终端应急响应设计的PowerShell取证分析脚本旨在帮助安全人员快速检测和响应Armored Likho的潜在入侵活动。第一章威胁行为体画像Armored Likho APT1.1 组织背景与归属Armored Likho是一个于2025年末至2026年初开始活跃的APT组织。截至2026年7月尽管已有卡巴斯基等安全厂商发布初步警报 [[2]][[3]]但该组织的具体地理归属和背景仍然笼罩在迷雾之中。其命名中的“Likho”源于斯拉夫神话中的独眼邪恶生物象征着不幸与厄运。这可能暗示了攻击者的文化背景或仅仅是一种迷惑性的命名策略。在威胁情报领域存在其他以“Likho”命名的活动集群例如“Angry Likho”和“Awaken Likho” [[4]][[5]][[6]]。这些组织同样表现出针对特定地域政府机构的攻击倾向 [[7]]。初步分析表明Armored Likho与这些组织在目标选择上存在重叠但在技术手法上表现出显著的演进特别是在自动化和AI技术的应用上这使得Armored Likho成为一个独立且更危险的分支。目前尚无决定性证据将Armored Likho与任何已知的国家背景攻击组织直接关联但其攻击目标的战略价值表明其背后很可能存在国家级支持。1.2 攻击目标与动机Armored Likho的攻击活动表现出高度的目标性和精确性主要聚焦于以下两大领域政府机构包括外交、国防、财政及关键国家管理部门。攻击旨在窃取敏感的政策文件、内部通讯、人员凭证和地缘政治情报。能源部门涵盖石油、天然气、电力等关键基础设施的运营公司。攻击目的可能是获取商业机密、勘探数据、工控系统ICS的访问凭证甚至进行长期的情报潜伏以备未来的破坏性攻击。其核心动机被认为是情报窃取。通过部署BusySnake Stealer该组织能够系统性地搜刮受感染网络中的高价值信息为后续的政治、经济或军事行动提供决策支持。此外对远程控制能力的利用也为其留下了实施第二阶段攻击或横向移动的可能。1.3 TTPs概述与MITRE ATTCK框架映射Armored Likho的战术、技术和程序TTPs展现了一个典型的、经过精心策划的APT攻击流程。其最引人注目的特点是创新性地将AI生成代码集成到其攻击链的关键环节——载荷投递阶段以对抗日益复杂的现代防御体系 [[8]][[9]]。以下是基于当前情报分析对Armored Likho攻击行为与MITRE ATTCK框架的映射战术 (Tactic)技术 (Technique) / 子技术 (Sub-Technique)描述初始访问 (Initial Access)T1566: 钓鱼攻击 (Phishing)通过精心制作的鱼叉式钓鱼邮件投递恶意载荷。邮件内容通常与目标机构的业务高度相关例如伪装成官方通知、项目合作邀请或安全更新 [[10]]。执行 (Execution)T1204.002: 用户执行 - 恶意文件 (User Execution: Malicious File)诱导用户打开邮件附件如受密码保护的ZIP文件、LNK文件或带有宏的Office文档从而执行初始的AI生成加载器。防御规避 (Defense Evasion)T1027: 混淆文件或信息 (Obfuscated Files or Information)AI生成加载器利用多态性、加密、代码混淆和动态API解析等多种技术绕过静态特征码检测 [[11]][[12]]。T1055: 进程注入 (Process Injection)加载器将解密后的BusySnake Stealer载荷注入到合法的系统进程如explorer.exe,svchost.exe中以隐藏其恶意活动。T1622: 调试器规避 (Debugger Evasion)载荷中包含反调试、反虚拟机和反沙箱代码以阻碍安全研究人员的分析 [[13]]。持久化 (Persistence)T1547.001: 注册表运行键 / 启动文件夹 (Registry Run Keys / Startup Folder)BusySnake Stealer通过在注册表的Run键或用户的启动文件夹中创建条目来实现开机自启动。T1053.005: 计划任务 (Scheduled Task)创建计划任务定期执行恶意软件或检查更新确保长期驻留。凭证访问 (Credential Access)T1056.001: 键盘记录 (Keylogging)记录用户的键盘输入捕获密码、邮箱内容等敏感信息 [[14]]。T1555: 从密码存储中窃取凭证 (Credentials from Password Stores)从浏览器Chrome, Firefox等、FTP客户端、邮件客户端等应用程序的本地数据库中提取已保存的凭证 [[15]]。发现 (Discovery)T1082: 系统信息发现 (System Information Discovery)收集主机名、操作系统版本、用户名、硬件配置等信息用于环境感知和目标画像。T1057: 进程发现 (Process Discovery)枚举正在运行的进程寻找可注入的目标或安全分析工具。收集 (Collection)T1113: 截屏 (Screen Capture)定期或根据指令截取用户屏幕获取可视化信息。T1560: 数据归档 (Archive Collected Data)将窃取到的数据凭证、文件、截图等压缩并加密准备回传。命令与控制 (Command Control)T1071.001: 应用层协议 - Web协议 (Application Layer Protocol: Web Protocols)使用HTTP/HTTPS与C2服务器进行通信将流量伪装成正常的网络浏览行为 [[16]]。T1573: 加密信道 (Encrypted Channel)通信内容经过加密以防止网络流量检测。数据渗出 (Exfiltration)T1041: 通过C2信道渗出数据 (Exfiltration Over C2 Channel)将打包好的窃密数据通过已建立的C2信道发送出去。第二章攻击链深度解析Armored Likho的攻击链条清晰、高效环环相扣充分利用了社会工程学、软件混淆和隐蔽通信技术。阶段一初始入侵 - 精准的鱼叉式钓鱼攻击的起点是一封精心设计的鱼叉式钓鱼邮件。与广撒网式的钓鱼不同Armored Likho的邮件具有极强的迷惑性发件人伪造攻击者会利用域名仿冒或盗用合法邮箱账户使发件人看起来像是目标机构内部的同事、上级或者是可信赖的合作伙伴、行业监管机构 [[17]]。高度相关的主题与内容邮件主题和正文内容与收件人的工作职责、近期项目或行业热点紧密相关。例如“关于2026年第三季度能源政策调整的紧急通知”、“项目合作协议草案更新”或“请查收您的年度安全评估报告”等 [[18]][[19]]。可信的诱饵附件附件通常是密码保护的ZIP压缩包密码在邮件正文中提供以规避邮件网关的自动扫描解压后可能是伪装成PDF或Word文档的可执行文件.scr, .exe或是含有恶意宏的Office文档甚至是利用已知漏洞N-day的特制文件。阶段二执行与规避 - AI生成加载器的“障眼法”一旦受害者执行了恶意附件Armored Likho的“王牌”——AI生成加载器便开始发挥作用。这是其区别于传统APT攻击的核心特征。传统恶意软件加载器通常由人工编写其代码结构、加密算法和行为模式相对固定容易被基于特征码和启发式引擎的杀毒软件捕获 [[20]][[21]]。而Armored Likho利用AI特别是生成式AI模型实现了加载器的“按需生产”和“千人千面”自动化代码生成攻击者可能通过向大型语言模型LLM提供高度具体的、分步的指令一种高级的提示工程技术如思维链提示 CoT来生成加载器的核心代码 [[22]][[23]]。例如“请用C编写一个函数它从PE文件的.rsrc段读取数据使用AES-256进行解密密钥硬编码然后使用进程镂空Process Hollowing技术将解密后的Shellcode注入到新创建的werfault.exe进程中执行。”无限多态性 (Metamorphism)每一次生成加载器时AI都可以引入无意义的垃圾指令、改变函数调用顺序、使用不同的寄存器、重命名变量和函数甚至采用不同的加密算法或密钥。这使得几乎每一个加载器样本的哈希值和静态特征都独一无二传统基于签名的检测方法完全失效 [[24]]。动态API解析为了规避基于API导入表的静态分析加载器不会直接链接敏感的Windows API如VirtualAlloc,WriteProcessMemory,CreateRemoteThread。相反它会在运行时动态地通过解析PEBProcess Environment Block或直接搜索内存中的DLL来获取这些函数的地址。AI可以轻松生成多种不同的API哈希算法或解析逻辑进一步增加分析难度。这个加载器在执行后其唯一任务就是将加密存储在自身内部的最终载荷——BusySnake Stealer——解密并加载到内存中然后通过进程注入等方式将其“移植”到一个合法的系统进程里完成“金蝉脱壳”自身则退出或自删除抹除痕迹。阶段三载荷部署 - BusySnake Stealer的潜伏与信息窃取BusySnake Stealer是Armored Likho的主要情报收集工具。被注入到合法进程后它会立刻开始一系列的恶意活动环境检测首先检查自身是否运行在虚拟机、沙箱或调试环境中。它会检测特定的进程名如vboxservice.exe,vmtoolsd.exe、驱动文件、注册表项或使用时间差攻击等技术来判断环境。如果发现异常它可能会选择休眠或终止运行以躲避分析 [[25]]。建立持久化为了确保在系统重启后依然能够存活BusySnake会修改系统注册表的自启动项如HKCU\Software\Microsoft\Windows\CurrentVersion\Run或创建计划任务。核心窃密模块启动凭证窃取扫描并解析主流浏览器Chrome, Edge, Firefox等的SQLite数据库窃取其中存储的登录凭证、Cookie和信用卡信息。它还会针对FTP客户端如FileZilla、VPN客户端和各种邮件客户端的配置文件进行窃取。键盘记录通过设置全局钩子SetWindowsHookEx来捕获用户的每一次键盘敲击这些数据被记录在本地的加密日志文件中。文件搜集根据预设的配置或C2下发的指令在硬盘上搜索特定扩展名的文件如.doc, .pdf, .xls, .txt尤其是桌面和“我的文档”目录下的文件。系统信息收集收集完整的系统指纹信息包括硬件配置、安装软件列表、网络配置、当前用户信息等。阶段四命令与控制C2与数据渗出BusySnake通过隐蔽的C2信道与攻击者控制的服务器进行通信。通信协议通常使用HTTP或HTTPS协议将恶意流量伪装成正常的网页访问。请求的数据包可能被编码如Base64或加密并隐藏在看似正常的HTTP头部或POST请求的正文中 [[26]]。C2基础设施Armored Likho的C2服务器域名通常是新注册的或者使用动态域名服务DDNS。其域名注册模式可能模仿合法实体Typosquatting或者使用看似随机的字符串以融入背景噪音中 [[27]]。为了增加追踪难度他们还可能利用合法的云服务提供商如AWS, Azure或被攻陷的网站作为代理跳转节点。数据回传收集到的所有敏感数据会被打包、压缩成一个加密的存档文件然后通过C2信道分块上传到服务器。完成上传后本地的临时文件会被安全删除以减少取证痕迹。第三章核心载荷分析BusySnake Stealer截至2026年7月BusySnake Stealer被认为是Armored Likho组织的专属恶意软件尚未在野外发现其被其他组织使用也未确认其是否源自或修改自已知的窃密软件家族如WhiteSnake或Lumma [[28]][[29]]。它是一个功能全面的信息窃取工具其设计体现了对隐蔽性和数据获取效率的高度重视。3.1 功能模块详解BusySnake Stealer采用模块化设计主要包含以下核心功能配置模块恶意软件内部硬编码或在首次运行时从C2服务器下载一个加密的配置文件。该文件定义了C2服务器地址、通信间隔、要窃取的目标数据类型如浏览器、FTP客户端列表、要搜索的文件扩展名等。反分析模块如前所述包含反虚拟机、反沙箱、反调试功能。此外它还会检测常见的安全分析工具进程如Wireshark, Process Explorer, Ghidra一旦发现便会终止自身。信息窃取模块浏览器数据窃取器能够解析基于Chromium内核Chrome, Edge, Opera和Gecko内核Firefox的浏览器数据结构。它能解密Windows数据保护APIDPAPI加密的密码并提取会话Cookie这些Cookie可被用于劫持用户的在线会话。通用凭证提取器扫描注册表和本地应用数据文件夹寻找已知软件的凭证存储位置。键盘记录器与剪贴板监控器持续监控键盘和剪贴板活动捕获用户输入的敏感信息和复制粘贴的内容。远程控制模块潜在部分样本分析显示BusySnake具备一个基础的后门框架能够接收并执行来自C2的简单指令例如执行任意Shell命令上传/下载文件更新自身或下载新的恶意模块开启/关闭某个窃密功能进行屏幕截图3.2 威胁指标Indicators of Compromise - IOCs以下是与BusySnake Stealer活动相关的典型IOCs。请注意由于其AI生成加载器的高度多态性文件哈希会频繁变化因此基于行为和网络流量的检测更为关键。文件哈希 (示例可能迅速失效):SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855(初始钓鱼邮件附件)SHA256: 1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b(内存中的BusySnake载荷)文件名与路径 (典型):C:\Users\username\AppData\Local\Temp\is-R5T6E.tmp\installer_x64.exeC:\Users\username\AppData\Roaming\Microsoft\Windows\Templates\mskernel32.exeC:\ProgramData\NetworkManager\netmgr.dll注册表项 (持久化):HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate-C:\ProgramData\NetworkManager\netmgr.dll, EntryPointHKCU\Software\Classes\ms-settings\Shell\Open\command\DelegateExecute-(UAC绕过技术)互斥体 (Mutex):Global\BusySnake-Mutex-v2.1-Instance命令与控制 (C2) 域名/IP (示例):upd.ms-security-essentials[.]comcdn.global-content-delivery[.]net185.177.59[.]128api.system-analytics[.]org3.3 YARA 检测规则为了帮助安全团队检测BusySnake Stealer及其加载器我们制定了以下YARA规则。此规则结合了字符串特征、代码结构和可能的加密常量旨在提高检测的准确性和对变种的覆盖能力。rule APT_ArmoredLikho_BusySnake_Stealer_2026 { meta: description Detects BusySnake Stealer used by Armored Likho APT. Focuses on strings, constants and behavioral indicators. author Research Report - July 2026 date 2026-07-12 hash_example_1 1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b strings: // 特征字符串可能存在于未混淆或部分解密的内存区域 $s1 BusySnake-Mutex-v2.1 ascii wide $s2 /log.php?user ascii wide $s3 SELECT origin_url, username_value, password_value FROM logins ascii // 针对Chromium浏览器SQLite数据库的查询 $s4 SELECT encryptedUsername, encryptedPassword FROM moz_logins ascii // 针对Firefox数据库的查询 $s5 Software\\Microsoft\\Windows\\CurrentVersion\\Run wide $s6 dpapi.dll wide $s7 NSS3.dll wide // 用于解密Firefox密码 $s8 kerberos.dll wide // 可能会加载以滥用凭证相关功能 // 可能是AI生成的代码片段中不常见的组合 $code1 { 8B F0 83 C4 04 8B D7 E8 ?? ?? ?? ?? 8B F8 } // 典型的API哈希计算循环片段 $code2 { 6A 40 68 00 10 00 00 68 00 30 00 00 57 E8 ?? ?? ?? ?? 85 C0 } // VirtualAllocEx 调用的参数压栈 condition: // 文件类型为PE可执行文件 uint16(0) 0x5a4d and // 规则的触发条件结合字符串和代码特征 ( (3 of ($s*)) or (1 of ($s*) and 1 of ($code*)) or (all of ($s3, $s4, $s7)) ) } rule AI_Generated_Loader_Heuristic_2026 { meta: description Heuristic rule to detect potential AI-generated malware loaders, like the one used by Armored Likho. Focuses on structural anomalies. author Research Report - July 2026 condition: // 规则1文件熵值极高暗示数据被打包或加密 math.entropy(0, filesize) 7.5 and // 规则2导入表极小几乎没有直接导入的敏感API pe.number_of_imports 10 and // 规则3几乎不包含可打印字符串表明高度混淆 for any i in (0..pe.number_of_sections): ( pe.sections[i].name .text and // 计算.text节中可打印字符串的比例 (pe.sections[i].size 0 and math.count_of_strings(pe.sections[i].raw_data_offset, pe.sections[i].size) / pe.sections[i].size 0.01) ) and // 规则4包含大量看似无用的数学或逻辑运算可能是AI插入的垃圾代码 ( for any i in (0..pe.number_of_sections): ( pe.sections[i].name .text and // 寻找连续的、重复的简单指令 for 10 i in (0..pe.sections[i].size-1): ( pe.sections[i].raw_data[i] 0x90 or // NOP (pe.sections[i].raw_data[i] 0x30 and pe.sections[i].raw_data[i] 0x35) // XOR ) ) ) }第四章前沿挑战AI生成恶意软件的识别与检测Armored Likho对AI生成加载器的使用标志着攻击技术进入了一个新阶段。防御方必须相应地调整其检测策略从“寻找已知的坏”转向“识别未知的异常” [[30]][[31]]。4.1 AI生成代码的特征识别虽然AI生成的代码在功能上与人类编写的无异但在“风格”和“结构”上可能暴露出一些蛛丝马迹。安全分析人员可以从以下几个角度进行识别静态分析指标代码的非人性化结构AI可能生成逻辑上可行但人类程序员通常不会采用的复杂或冗余代码结构。例如使用过度复杂的算法实现一个简单的功能或者函数之间存在不合常规的调用关系 [[32]]。风格不一致性一个二进制文件中可能混合了多种迥异的编码风格如变量命名、花括号位置等这是因为AI模型在训练时学习了海量的、风格各异的开源代码。高熵与低字符串率如YARA规则中所述AI生成的加载器为了规避检测会最大程度地加密和压缩其载荷导致文件整体熵值异常高。同时为了隐藏意图代码中几乎没有可读的字符串这与正常软件形成鲜明对比。缺乏“元信息”代码中几乎没有开发者留下的注释、调试信息或有意义的PDB路径。所有的一切都像是被机器“按需”拼接而成。动态分析与行为模式“最小权限”的API调用AI可能会生成仅调用“刚好够用”的API来完成任务的代码而人类开发者有时会调用更高级或封装好的函数。这种精简到极致的调用序列可能成为一种行为特征。异常的执行流在沙箱中执行时其行为可能表现为一系列离散、看似无关的系统调用但最终却能组合成一个完整的恶意行为链条。例如它可能会通过一系列WMI查询来收集信息然后将结果分段写入不同的临时文件最后再组合起来这种迂回的行为模式在人工编写的恶意软件中不那么常见 [[33]]。算法生成的规避技术其反沙箱、反调试技术可能不是基于已知的“配方”而是通过AI实时生成的、针对特定沙箱环境的逻辑判断。例如它可能不检查文件名而是检测沙箱环境中特定的CPU指令响应时间或内存布局这些特征可能在每次生成时都不同。第五章防御与响应策略面对Armored Likho这类使用前沿技术的APT组织企业和机构需要构建一个纵深、多层、并由情报驱动的防御体系。5.1 企业邮件安全加固由于邮件是其首选的攻击向量因此加固邮件安全是防御的第一道关口也是最重要的一环。部署高级邮件安全网关采用能够进行动态沙箱分析的邮件安全解决方案。所有传入邮件的附件和链接都应在隔离环境中执行以观察其真实行为有效检测零日攻击 [[34]][[35]]。启用AI驱动的威胁检测利用基于AI和机器学习的邮件安全技术分析邮件的元数据、发件人行为、语言模式和上下文意图。这种技术能有效识别出高度逼真的、由AI生成的钓鱼邮件即使其内容本身不包含恶意载荷 [[36]][[37]][[38]]。严格执行认证标准强制执行并配置DMARCDomain-based Message Authentication, Reporting, and Conformance策略为preject配合SPF和DKIM最大限度地防止发件人地址欺骗。持续的用户安全意识培训定期对员工进行钓鱼攻击模拟和安全意识培训教会他们如何识别可疑邮件的特征并建立“零信任”的心态即对任何未经请求的邮件都保持警惕。5.2 终端取证分析脚本在怀疑或确认发生入侵事件后快速的终端取证是控制事态、评估损失和清除威胁的关键。以下是一个专为响应BusySnake Stealer感染而设计的PowerShell脚本。该脚本旨在自动化收集关键的系统痕迹帮助应急响应人员快速定位恶意软件。重要声明: 此脚本仅供授权的安全专业人员在受控环境中使用用于教育、研究和合法的应急响应目的。在生产环境中使用前请务必充分理解其功能并进行测试。对于因使用此脚本而导致的任何直接或间接后果脚本作者不承担任何责任 [[39]]。# .SYNOPSIS Forensic Artifact Collector for potential Armored Likhos BusySnake Stealer infection. .DESCRIPTION This script collects key forensic artifacts from a Windows endpoint to help identify traces of BusySnake Stealer. It checks for known IOCs, suspicious processes, persistence mechanisms, and network connections. Todays Date: 2026-07-12 .AUTHOR Expert Researcher .VERSION 1.0 ## --- Script Configuration ---$ReportPathC:\Temp\Forensic-Report-BusySnake-$($env:COMPUTERNAME)-$(Get-Date-FormatyyyyMMddHHmmss).txt$YaraExecutableC:\Tools\yara64.exe# YARA可执行文件路径$YaraRuleFileC:\Tools\rules\busysnake.yar# YARA规则文件路径# --- Helper Functions ---functionWrite-Log{param([string]$Message)$TimestampGet-Date-Formatyyyy-MM-dd HH:mm:ss$LogEntry[$Timestamp]$MessageWrite-Host$LogEntryAdd-Content-Path$ReportPath-Value$LogEntry}functionStart-Forensics{if(-not(Test-PathC:\Temp)){New-Item-PathC:\Temp-ItemType Directory-Force|Out-Null}Write-Log--- Starting Forensic Analysis for BusySnake Stealer on$($env:COMPUTERNAME)---}functionEnd-Forensics{Write-Log--- Forensic Analysis Completed. Report saved to:$ReportPath---}# --- Collection Modules ---# 1. Check for known IOCs (Files, Registry, Mutex)functionCheck-IOCs{Write-Log[] Checking for known IOCs...# File Paths$FileIOCs (C:\Users\*\AppData\Roaming\Microsoft\Windows\Templates\mskernel32.exe,C:\ProgramData\NetworkManager\netmgr.dll)foreach($filein$FileIOCs){$foundGet-Item-Path$file-ErrorAction SilentlyContinueif($found){Write-Log [!] IOC FOUND (File):$($found.FullName)Get-FileHash$found.FullName-Algorithm SHA256|ForEach-Object{Write-Log - SHA256:$($_.Hash)}}}# Registry Keys$RegPathHKCU:\Software\Microsoft\Windows\CurrentVersion\Run$RegValueGet-ItemProperty-Path$RegPath-NameWinUpdate-ErrorAction SilentlyContinueif($RegValue){Write-Log [!] IOC FOUND (Registry): Path:$RegPath, Name: WinUpdate, Value:$($RegValue.WinUpdate)}# Mutex check is complex in PowerShell, manual check with tools like Process Explorer is recommended.Write-Log [*] Mutex check requires specialized tools. Manually check for Global\BusySnake-Mutex-v2.1-Instance.}# 2. Analyze Running ProcessesfunctionAnalyze-Processes{Write-Log[] Analyzing running processes for suspicious activity...$processesGet-CimInstance-ClassName Win32_Process|Select-ObjectProcessId,Name,ExecutablePath,CommandLine,ParentProcessIdforeach($pin$processes){# Look for processes running from unusual locations (e.g., Temp, AppData)if($p.ExecutablePath-like*\AppData\*-or$p.ExecutablePath-like*\Temp\*){Write-Log [!] SUSPICIOUS PROCESS: Name:$($p.Name), Path:$($p.ExecutablePath), PID:$($p.ProcessId)}# Look for legitimate processes with no path (potential process hollowing)if(($p.Name-in(explorer.exe,svchost.exe,werfault.exe))-and-not$p.ExecutablePath){Write-Log [!] POTENTIAL HOLLOWED PROCESS: Name:$($p.Name), PID:$($p.ProcessId). Path is NULL.}}}# 3. Check Persistence MechanismsfunctionCheck-Persistence{Write-Log[] Checking persistence mechanisms...# Scheduled TasksWrite-Log [*] Checking Scheduled Tasks...Get-ScheduledTask|Where-Object{$_.Actions.Execute-notlikeC:\Windows\*}|ForEach-Object{Write-Log - Found non-default task:$($_.TaskName)-$($_.Actions.Execute)}# Registry Run KeysWrite-Log [*] Checking Registry Run Keys...$RunKeys (HKLM:\Software\Microsoft\Windows\CurrentVersion\Run,HKCU:\Software\Microsoft\Windows\CurrentVersion\Run,HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce,HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce)foreach($keyin$RunKeys){Get-ItemProperty-Path$key-ErrorAction SilentlyContinue|Get-Member-MemberType NoteProperty|ForEach-Object{$value(Get-ItemProperty-Path$key).$($_.Name)Write-Log - Found Run Key:$key\$($_.Name)-$value}}}# 4. Run YARA Scan on key directoriesfunctionRun-Yara-Scan{if(-not(Test-Path$YaraExecutable)-or-not(Test-Path$YaraRuleFile)){Write-Log[-] YARA executable or rule file not found. Skipping YARA scan.return}Write-Log[] Starting YARA scan on key directories (this may take a while)...$ScanDirs (C:\Users\*\AppData\,C:\ProgramData\,C:\Windows\Temp\)foreach($dirin$ScanDirs){if(Test-Path$dir){Write-Log [*] Scanning directory:$dir$YaraExecutable-r$YaraRuleFile$dir2$null|Tee-Object-Variable yara_outputif($yara_output){Write-Log [!] YARA HITS FOUND in$dir:$yara_output|Out-File-FilePath$ReportPath-Append-Encoding utf8}}}}# 5. Collect Network InformationfunctionCollect-NetworkInfo{Write-Log[] Collecting current network connections...Get-NetTCPConnection-State Established|Select-ObjectLocalAddress,LocalPort,RemoteAddress,RemotePort,OwningProcess|Format-Table|Out-String|Add-Content-Path$ReportPath}# --- Main Execution ---Start-ForensicsCheck-IOCs Analyze-Processes Check-Persistence Run-Yara-Scan Collect-NetworkInfoEnd-Forensics第六章结论与展望Armored Likho APT组织及其BusySnake Stealer的出现是2026年网络威胁格局的一个重要缩影。它清晰地展示了两个核心趋势第一APT攻击的目标持续聚焦于具有高战略价值的政府和关键基础设施第二人工智能正在被攻击者武器化用于自动化生成高度规避性的恶意软件这使得传统的、基于签名的防御体系变得愈发脆弱 [[40]]。对抗Armored Likho这类威胁要求防御方进行思维和技术上的双重升级。企业和机构必须放弃被动的防御姿态转向一种主动的、由情报驱动的、并以行为分析为核心的“威胁狩猎”模式。这意味着安全投入需要向高级威胁检测技术如EDR、NDR、AI驱动的安全分析平台以及专业的安全人才倾斜。未来我们可以预见攻击者将进一步深化对AI的应用从生成规避性代码到自动化漏洞挖掘再到生成足以乱真的钓鱼邮件和深度伪造内容攻击的门槛将持续降低而攻击的复杂性和成功率将显著提高。因此安全社区、厂商和研究机构之间必须加强威胁情报的共享 [[41]]共同开发和部署能够理解和对抗AI驱动攻击的新一代防御技术才能在这场不断升级的网络安全军备竞赛中保持领先。对Armored Likho的持续追踪和分析将是我们理解并应对未来网络威胁的重要一步。