VTPRACTITIONERS{ACRONIS}: 追踪FileFix、Shadow Vector和SideWinder

引言

我们最近启动了一个名为#VTPRACTITIONERS的新博客系列。该系列旨在从技术角度与社区分享其他从业者使用VirusTotal进行的研究成果。

我们的第一篇博客见证了SEQRITE的同事追踪UNG0002、Silent Lynx和DragonClone。在这篇新文章中，Acronis威胁研究单元(TRU)分享了来自多项调查的实用见解，包括被称为FileFix的ClickFix变种、长期活跃的南亚威胁行为者SideWinder，以及针对哥伦比亚的基于SVG的攻击活动Shadow Vector。

VT在分析师狩猎中的作用

对于威胁分析师来说，基于网络的威胁带来了一系列独特的挑战。与基于文件的恶意软件不同，基于网络攻击的初始阶段通常仅作为浏览器中的短暂工件存在。调查的核心依赖于剖析网站的组件，从其HTML和JavaScript到其传递的有效负载。这就是VT用于存档和分析网络内容的能力变得关键的地方。

VT允许分析师超越简单的URL信誉检查，深入研究网页本身的内容。对于像*Fix家族这样的攻击，它们诱骗用户执行恶意命令，整个攻击链通常暴露在页面源代码中。分析师的起点变成了恶意命令本身，例如navigator.clipboard.writeText或document.execCommand(“copy”)，这些命令用于将有效负载秘密复制到受害者的剪贴板。

Acronis团队对FileFix变种的调查展示了这种方法论的实际应用。他们的研究并非从特定样本开始，而是从一个可以转化为一组狩猎规则的假设开始。使用VT的Livehunt功能，他们能够创建YARA规则，搜索包含剪贴板命令以及常见有效负载执行工具（如powershell、mshta或cmd）的新网页。这种主动狩猎方法使他们能够撒下大网并实时识别潜在的恶意网站。

这种狩猎类型的主要挑战之一是在规则特异性和发现新威胁的需求之间取得平衡。过于宽泛的规则可能导致大量误报，而高度具体的规则可能错过创造性制作的命令。Acronis团队通过创建具有不同特异性级别的多个规则集来解决这个问题，使他们既能找到已知威胁，又能发现像FileFix这样的新变种。

在SideWinder活动的情况下，该活动使用基于文档的攻击，VT的价值来自其丰富的元数据和过滤能力。分析师可以狩猎利用特定漏洞的恶意文档，然后通过提交者国家信息关注特定地理区域来缩小结果范围。这使他们能够有效隔离匹配特定行为者特征的威胁，例如SideWinder对南亚的关注。

同样，对于Shadow Vector活动，该活动使用恶意SVG文件针对哥伦比亚的用户，VT内容搜索和存档功能被证明是必不可少的。平台存储和索引SVG内容的能力使研究人员能够识别使用司法主题诱饵的活动。通过将法律关键词的内容搜索与像submitter:CO这样的过滤器相结合，Acronis团队可以映射整个感染链及其基础设施，将零散的指标转化为全面的情报图景。

Acronis - 成功故事

[Acronis的话…] Acronis威胁研究单元(TRU)在多项调查中使用了VirusTotal平台进行威胁狩猎和情报收集，包括FileFix、SideWinder和Shadow Vector。在FileFix案例中，TRU使用了VT的Livehunt框架，开发规则来识别使用剪贴板操作传递PowerShell有效负载的恶意网页。在VirusTotal平台内检查存档的HTML和JavaScript的能力使团队不仅能够发现已知的Fix家族攻击，还能发现共享代码模式的先前未见变种。

VirusTotal的数据语料库也支持了Acronis TRU的更广泛威胁追踪。在SideWinder活动中，VT的元数据和样本过滤能力帮助分析师追踪针对南亚的利用tag:CVE-2017-0199和tag:CVE-2017-11882的针对性文档攻击，导致了后来在"从银行到营：SideWinder对南亚公共部门的攻击"中发布的狩猎规则。

类似地，在"Shadow Vector通过权限提升和法院主题SVG诱饵针对哥伦比亚用户"调查期间，VT的SVG内容存档暴露了一个针对哥伦比亚实体的活动，该活动在SVG图像中嵌入了司法诱饵和外部有效负载链接。通过将样本与像submitter:CO这样的元数据过滤器以及针对像href=“https://“和法律关键词等术语的内容搜索相关联，团队映射了整个感染链及其支持基础设施。在所有这些努力中，VirusTotal提供了一个统一的环境，Acronis可以在其中实时旋转、关联和验证发现，将零散的指标转化为全面的、可操作的情报。

像2017-0199一样狩猎漏洞（SideWinder版）

SideWinder是一个知名的威胁行为者，不断回归有效的方法。他们的基于文档的传递链已经活跃多年，该组织继续依赖相同的经过验证的漏洞来针对南亚的政府和国防实体。我们这次狩猎的目标不仅仅是找到样本。我们想了解新文档出现在哪里，它们可能针对谁，以及在最新活动浪潮中流通的诱饵类型。VirusTotal为我们提供了高效和大规模做到这一点所需的可见性。

我们首先深入研究了最近上传到VirusTotal的Microsoft Office和RTF文件，这些文件被标记为CVE-2017-0199或CVE-2017-11882，并来自巴基斯坦、孟加拉国、斯里兰卡和邻近国家。通过基于VT元数据（如提交者国家和文件类型）进行过滤，并排除来自批量提交或不相关活动的明显噪音，我们可以将重点缩小到实际符合SideWinder操作特征的样本。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47


/*
    检查文件是否标记有CVE-2017-0199或CVE-2017-11882
    并且来自目标国家之一
    并且文件类型是Word文档、RTF或MS-Office文件
*/
import "vt"
rule hunting_cve_maldocs {
    meta:
        author = "Acronis Threat Research Unit (TRU)"
        description = "狩猎来自特定国家的利用CVE-2017-0199或CVE-2017-11882的恶意Word/RTF文件"
        distribution = "TLP:CLEAR"
        version = "1.2"

    condition:
        // 如果文件在标签中有CVE-2017-0199或CVE-2017-11882则匹配
        for any tag in vt.metadata.tags : 
        ( 
            tag == "cve-2017-0199" or 
            tag == "cve-2017-11882" 
        )
        // 来自特定国家？
        and 
        (
            // 由于相关恶意文档的垃圾提交而移除了CN
            vt.metadata.submitter.country == "PK" or 
            vt.metadata.submitter.country == "LK" or 
            vt.metadata.submitter.country == "BD" or 
            vt.metadata.submitter.country == "NP" or 
            vt.metadata.submitter.country == "MM" or 
            vt.metadata.submitter.country == "MV" or 
            vt.metadata.submitter.country == "AF"
        )
        // 是DOC、DOCX还是RTF？
        and 
        (
            vt.metadata.file_type == vt.FileType.DOC or
            vt.metadata.file_type == vt.FileType.DOCX or
            vt.metadata.file_type == vt.FileType.RTF
        )
        // 发现不同的TA使用.ru TLD（暂时排除）
        and not (
            for any url in vt.behaviour.memory_pattern_urls : (
                url contains ".ru"
            )
        )
        and vt.metadata.new_file
}  

接下来，我们开始将这些结果转化为新的livehunt规则。初始版本有意宽泛：匹配任何利用这些CVE的新文档，从一小部分感兴趣的国家上传，并限制为像DOC、DOCX或RTF这样的文档文件类型。我们还添加了逻辑以避免不符合SideWinder模式的命中，例如调用与其它已知威胁集群相关的.ru基础设施的样本。

创建宽泛狩猎规则时的一个好起点是定义每日通知限制，如果一切按预期工作且误报水平可容忍，则随着越来越多的命中进入我们的收件箱开始优化规则。

在创建宽泛狩猎规则时，不向自己的收件箱发送垃圾邮件总是一个好主意

在我们的案例中，最终的狩猎规则最终匹配了SideWinder使用的恶意文档的十六进制模式。通过添加提交者国家过滤器并仅在新文件上触发，该规则产生了一个可靠的样本流，我们可以自信地归因于该行为者进行进一步分析。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


/*
    Sidewinder相关的恶意文档在2025年活动中利用CVE 2017-0199
*/
import "vt"
rule apt_sidewinder_documents
{
    meta:

        author = "Acronis Threat Research Unit (TRU)"
        description = "Sidewinder相关的恶意文档利用CVE 2017-0199"
        distribution = "TLP:CLEAR"
        version = "1.0"

    strings:

        $a1 = {62544CB1F0B9E6E04433698E85BFB534278B9BDC5F06589C011E9CB80C71DF23}
        $a2 = {E20F76CDABDFAB004A6BA632F20CE00512BA5AD2FE8FB6ED9EE1865DFD07504B0304140000}

    condition:

        filesize < 5000KB 
        and any of ($a*)
        and vt.metadata.new_file
        // 从CN提交者获得垃圾样本
        and not vt.metadata.submitter.country == "CN"
} 

一旦我们优化了规则集，SideWinder活动变得更容易持续追踪。我们开始近乎实时地看到新诱饵出现，使我们能够监控主题的变化并发现不同活动中诱饵内容和基础设施的重复使用。在retrohunt中使用相同的逻辑证实了我们的观察，即SideWinder几个月来一直在使用相同的策略，只改变诱饵主题而保持底层传递技术不变。

使用Retrohunt发现额外样本并建立威胁行为者的时间线

我们还观察到传递链中的地理围栏行为。如果托管外部资源的服务器无法识别访问者或IP范围与预期目标不匹配，服务器通常返回良性诱饵文件（或HTTP 404错误代码）而不是真实有效负载。

虽然依赖2017年的漏洞，SideWinder仔细过滤将接收最终恶意有效负载的受害者

一个重复出现的诱饵具有SHA256哈希1955c6914097477d5141f720c9e8fa44b4fe189e854da298d85090cbc338b35a，对应一个空的RTF文档。该诱饵作为狩猎支点很有用：通过搜索该哈希并将其与VT中的提交者国家和文件类型过滤器结合，您可以将可能的针对性、真实命中与广泛噪音分开，并映射应用地理围栏的位置。

SideWinder使用的RTF空诱饵文件仍然为旋转到其基础设施的其他部分提供有价值的信息

此外，VirusTotal使我们能够追踪攻击回到初始感染向量并恢复启动链的一些鱼叉式网络钓鱼电子邮件。我们从已知样本和共享字符串旋转，并使用文件关系跟踪链接的URL和工件上游，找到了一个包含原始消息和附件的.eml文件。一个具体示例是标题为54th CISM World Military Naval Pentathlon 2025 - Invitation.eml的鱼叉式网络钓鱼，在VirusTotal中索引，具有行为元数据和与相同基础设施相关的附件。

获取初始感染鱼叉式网络钓鱼电子邮件使我们能够将谜题的不同部分从开始到结束拼凑起来

对于其他狩猎者，关键要点是，即使像CVE-2017-0199这样的旧漏洞，当您结合多个VirusTotal功能时也能揭示很多信息。在这种情况下，我们使用了元数据、livehunt和区域遥测来连接看似无关的样本。我们还检查了哈希标签和社区投票，包括来自像Joseliyo这样的研究人员的投票，以交叉检查我们的假设并发现关于类似活动的持续讨论。遥测选项卡帮助我们查看提交来自的地理位置，威胁图视图使得更容易可视化文档、基础设施和有效负载如何链接。

在狩猎新样本时，每一个数据点都很重要

一起使用这些工具将一组嘈杂的样本变成了SideWinder目标和操作的清晰图景。

发现Shadow Vector在哥伦比亚的基于SVG的网络犯罪活动

在我们的研究期间，我们识别了一个我们称为Shadow Vector的活动，该活动使用恶意SVG图像制作成法院传票和法律通知来针对哥伦比亚的用户。

具有司法信件主题的渲染SVG诱饵示例

这些文件模仿官方司法信件并包含指向外部托管有效负载的嵌入链接，例如基于脚本的下载器或受密码保护的存档。调查在我们注意到来自哥伦比亚的SVG提交的异常模式后开始。通过使用一小部分样本进行初始规则，我们开始了狩猎。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53


<!--
    此YARA规则检测可能用于针对哥伦比亚的网络犯罪活动的潜在恶意SVG文件。
    该规则识别包含网络钓鱼诈骗中常用的法律或司法术语的SVG图像，
    以及可能用于传递有效负载的嵌入外部链接。
-->
import "vt"
rule crimeware_svg_colombia {
   meta:
        author = "Acronis Threat Research Unit (TRU)"
        description = "检测可能用于针对哥伦比亚的网络犯罪活动的潜在恶意SVG文件"
        distribution = "TLP:CLEAR"
        version = "1.1"

        // 参考哈希
        hash1 = "6d4a53da259c3c8c0903b1345efcf2fa0d50bc10c3c010a34f86263de466f5a1"
        hash2 = "2aae8e206dd068135b16ff87dfbb816053fc247a222aad0d34c9227e6ecf7b5b"
        hash3 = "4cfeab122e0a748c8600ccd14a186292f27a93b5ba74c58dfee838fe28765061"
        hash4 = "9bbbcb6eae33314b84f5e367f90e57f487d6abe72d6067adcb66eba896d7ce33"
        hash5 = "60e87c0fe7c3904935bb1604bdb0b0fc0f2919db64f72666b77405c2c1e46067"
        hash6 = "609edc93e075223c5dc8caaf076bf4e28f81c5c6e4db0eb6f502dda91500aab4"
        hash7 = "4795d3a3e776baf485d284a9edcf1beef29da42cad8e8261a83e86d35b25cafe"
        hash8 = "5673ad3287bcc0c8746ab6cab6b5e1b60160f07c7b16c018efa56bffd44b37aa"
        hash9 = "b3e8ab81d0a559a373c3fe2ae7c3c99718503411cc13b17cffd1eee2544a787b"
        hash10 = "b5311cadc0bbd2f47549f7fc0895848adb20cc016387cebcd1c29d784779240c"
        hash11 = "c3319a8863d5e2dc525dfe6669c5b720fc42c96a8dce3bd7f6a0072569933303"
        hash12 = "cb035f440f728395cc4237e1ac52114641dc25619705b605713ecefb6fd9e563"
        hash13 = "cf23f7b98abddf1b36552b55f874ae1e2199768d7cefb0188af9ee0d9a698107"
        hash14 = "f3208ae62655435186e560378db58e133a68aa6107948e2a8ec30682983aa503"

   strings:
        // SVG
        $svg = "<svg xmlns=" ascii fullword

        // 包含法律或司法术语的文档
        $s1 = "COPIA" nocase
        $s2 = "CITACION" nocase
        $s3 = "JUZGADO" nocase
        $s4 = "PENAL" nocase
        $s5 = "JUDICIAL" nocase
        $s6 = "BOGOTA" nocase
        $s7 = "DEMANDA" nocase

        // 当图像加载时，它使用HTTPS从外部网站检索有效负载
        $href1= "href='https://" nocase
        $href2 = "href=\"https://" nocase

   condition:
      $svg 
      and filesize < 3MB
      and 3 of ($s*)
      and any of ($href*)
      and vt.metadata.submitter.country == "CO"
}

通过包含来自手动验证样本的参考哈希，我们使用宽泛的狩猎规则既作为检测机制，又作为发现相关基础设施或新生成诱饵的支点。

一旦初始狩猎逻辑就位，我们将其优化为专门为基于SVG的诱饵量身定制的livehunt规则。该规则匹配包含司法术语和出站HTTPS链接的文件，同时通过文件大小和来源过滤以减少误报。使用此规则，我们开始收集和分析相关上传。

我们使用VT Diff功能比较样本之间的变体，并快速发现模式，例如重复的单词、十六进制值、URL或暗示自动生成的元数据标签（即字符串"Generado Automaticamente”）。

VT Diff功能帮助我们识别模式

我们的VT Diff会话结果

虽然我们在研究时不能最终将SVG诱饵活动归因于Blind Eagle，但技术和主题重叠难以忽视。VT博客"使用AI代码分析发现哥伦比亚恶意软件活动"描述了在针对哥伦比亚用户的操作中使用的类似司法主题SVG文件作为诱饵。与其他关于此威胁行为者的公开报告一样，归因仍然基于累积证据，根据基础设施重用、网络钓鱼模板设计、恶意软件家族选择以及跨样本观察到的语言或区域指标等共同点对活动进行聚类。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


rule crimeware_shadow_vector_svg
{

    meta:

        description = "检测与Shadow Vector的哥伦比亚活动相关的恶意SVG文件"
        author = "Acronis Threat Research Unit (TRU)"
        file_type = "SVG"
        malware_family = "Shadow Vector"
        threat_category = "网络犯罪/恶意图像/嵌入有效负载"
        tlp = "TLP:CLEAR"

strings:

        $svg_tag1 = "<?xml" ascii
        $svg_tag2 = "<svg" ascii
        $svg_tag3 = "<!DOCTYPE svg" ascii
        $svg_tag4 = "http://www.w3.org/2000/svg" ascii 

        // Shadow Vector使用（可能批量生成）

        $judicial = "juzgado" ascii nocase
        $judicial_1 = "citacion" ascii nocase
        $judicial_2 = "judicial" ascii nocase
        $judicial_3 = "despacho" ascii nocase
        $generado = "Generado" ascii nocase

    condition:

        filesize < 3MB and
        3 of ($svg_tag*) and
        (1 of ($judicial*) and $generado)
}

从初始狩猎规则到优化检测规则的演变说明了我们在VT中威胁狩猎的方法，通过测试和分析迭代和持续优化。第一个规则是宽泛的，旨在浮现相关样本并揭示活动的全部范围。它在livehunt和retrohunt中被证明是有用的，帮助我们找到司法主题SVG及其链接有效负载的集群。随着调查的进展，我们专注于精确性，减少误报并移除不增加价值的元素。调整规则始终是一种平衡：移除一个模式可能会错过一些样本，但它也可以使规则更准确且更易于维护。

FileFix在野外！

几周前，Acronis的TRU团队发布了对（当时）罕见的ClickFix攻击变种（称为FileFix）的研究。对此攻击向量的大部分调查之所以成为可能，要归功于VirusTotal存档、搜索和编写规则查找网页的能力。我们Acronis与VT一起想分享一些关于我们如何做到这一点的信息，以便其他人可以更好地研究这类新兴威胁。

攻击剖析-我们从哪里开始？

像许多网络钓鱼攻击一样，Fix攻击依赖于恶意网站，受害者被诱骗运行恶意命令。幸运的是，这些攻击有一些特定组件是所有或许多Fix攻击共有的。使用VT，我们能够编写规则并livehunt任何包含这些组件的新网页，并且能够快速迭代过于宽泛的规则。

所有*Fix攻击的一个共同点是它们将恶意命令复制到受害者的剪贴板-复制恶意命令，而不是让用户自己复制命令，允许攻击者尝试向受害者隐藏命令的恶意部分，并仅允许较小的"良性"命令部分出现在他们复制到Windows运行对话框或地址栏时。这个共同点为我们提供了两个很好的狩猎字符串：

用于将文本复制到受害者剪贴板的命令用于构建恶意有效负载的命令

我们通过使用Livehunt功能开始研究，并编写了一个规则来检测navigator.clipboard.writeText和document.execCommand(“copy”)，两者都用于复制到剪贴板，以及任何包括单词powershell、mshta、cmd和我们发现在*Fix攻击中常用的其他命令的字符串。在最基本的形式中，规则可能看起来像这样：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


import "vt"

rule ClickFix
{
  strings:
    $clipboard = /(navigator\.clipboard\.writeText|document\.execCommand\(\"copy\"\))/
    $pay01 = /(powershell|cmd|mshta|msiexec|pwsh)/gvfi
  condition:
    vt.net.url.new_url and
    $clipboard and
    any of ($pay*)
}  

然而，这远远不够。有许多良性网站使用复制到剪贴板功能，并且也有单词powershell或cmd存在（三个字母"cmd"经常作为Base64字符串的一部分出现）。这使得事情变得有点棘手，因为它要求我们消除这些误报。我们需要使我们的模式看起来更像真实的powershell或cmd命令。

不幸的是，这些命令的编写方式存在巨大差异，我们的模式越严格，我们就越可能错过包含我们以前未见或无法想到的创造性制作命令的真正阳性。这需要一种平衡行为-如果您的规则太严格，您将错过采用创造性制作命令的真正阳性；太宽松，您将收到大量误报，这将减慢调查速度。

例如，我们可以尝试通过搜索更类似于我们在ClickFix有效负载中看到的某些powershell命令的字符串来缩小规则范围，通过包含"iex"cmdlet，它告诉powershell命令执行命令：

1

 $pay03 = /powershell.{,80}iex/

这将匹配单词powershell出现时，单词iex在其后0到80个字符出现的情况。这应该减少我们看到与powershell相关的误报数量，因为它更清楚地类似于powershell命令，但同时将我们的规则限制为仅捕获遵循此结构的powershell命令-任何在单词powershell和iex之间有超过80个字符或放弃使用iex的真正阳性命令将不会被捕获。

我们最终设置了多个单独的规则集，一些更具体，其他更通用。更通用的规则集帮助我们调整更具体的规则集。这种策略使我们能够找到大量的ClickFix攻击。大多数是普通的假验证码，利用ClickFix，其他更有趣。随着我们继续微调规则，并在设置Livehunt的一周内，我们的一个更通用的规则进行了有趣的检测。乍一看，它似乎是一个误报，但当我们更仔细地看时，我们发现这正是我们希望找到的-FileFix攻击。

分析有效负载

研究*Fix攻击最美好的事情之一是有效负载就在网站上，就在明处。这提供了几个优势-第一个是即使网络钓鱼站点本身关闭，只要它被VT存档，我们也可以检查有效负载。第二个优势是我们可以通过VT查询进一步搜索VT上的类似模式，以尝试捕获来自同一活动的其他攻击。

有效负载直接可见于VT，通过在任何可疑网站上使用内容选项卡（在这种情况下-混淆）通常，这些有效负载可能包含额外的恶意URL，用于下载和执行额外的有效负载。这些也可以很容易地在VT上检查，它们导致的任何文件也可以直接从VT下载。

在我们对FileFix站点的调查中，我们发现有效负载（一个powershell命令）下载一个图像，然后运行嵌入在图像文件中的脚本。该第二阶段的脚本然后从图像中解密并提取一个可执行文件并运行它。

FileFix站点从图像下载并提取代码（高亮显示）我们使用VM和VT来调查这些有效负载。我们能够使用VT的一种有趣方式是追踪恶意图像的额外示例，因为命令的部分作为字符串嵌入在图像文件中，允许我们通过VT查询匹配这些模式并找到攻击的新示例，或通过搜索文件名或托管它的域。

旋转到托管恶意.jpg文件的域，以调查攻击的额外阶段，由VT存档 VT在允许我们非常容易地分析不仅用于网络钓鱼而且用于传递恶意软件和额外脚本的恶意URL方面非常有帮助。在一些示例中，我们能够沿着脚本和有效负载链走得很远，甚至无需启动VM，只需查看内容选项卡即可查看特定文件内部的内容。这不会每次都发生，但当它发生时肯定很好。

攻击期间使用的恶意图像包含在攻击第二阶段使用的恶意代码的部分

通过旋转该代码内的特定字符串，我们能够定位由同一攻击者创建的恶意图像和脚本的其他样本，并进一步旋转以发现他们的基础设施调查和关联各个阶段或来自同一攻击者的多个样本的能力在调查期间对我们来说是一个巨大的福音。它使我们能够快速连接点而无需离开VT，并且应该是您调查中的巨大资产。

寻找*Fix

所以现在您知道了所有这些-接下来是什么？这如何有用？嗯，我们希望它能在几个方面有所帮助。

首先，作为一个社区共同努力，我们必须继续捕获和阻止使用Fix攻击的URL。动态检测Fix站点并不容易，预防在许多情况下可能仍然在有效负载已经运行后发生。维护强大的阻止列表仍然是阻止这些威胁的非常好和可访问的选择。

其次，我们中那些有兴趣继续追踪此威胁并跟随其演变的人可以使用它来找到这些威胁并可能自动化检测。顺便说一句，*Fix攻击对于我们中刚开始从事安全工作的