在 Windows 安全研究的演进历程中,反病毒软件自身往往成为攻击面最隐蔽的入口。2026 年 4 月披露的 RedSun 项目揭示了一种反直觉的攻击向量:Microsoft Defender 在检测到带有云标签的恶意文件时,会将该文件重新写入其原始位置,这一行为本应用于文件恢复,却可能被利用来实现系统权限的突破。本文将从技术机制、攻击链构建及防御工程三个维度展开分析。
核心机制:云标签检测与文件重写行为
RedSun 攻击链的核心依赖于 Windows Defender 的云端保护机制。当 Defender 扫描文件时,会将可疑文件的特征发送至 Microsoft 云端进行快速判定,云端返回的判定结果会附带一个标签,这个标签即为「云标签」。正常情况下,Defender 应当隔离或删除检测到的恶意文件。然而,研究人员发现了一个违反直觉的行为:当 Defender 识别到带有云标签的恶意文件后,它会将原始文件重新写入到被检测文件所在的路径,而非将其删除或移至隔离区。
这一行为看似荒诞,却在安全社区引发了广泛讨论。攻击者正是利用这一点,首先在目标系统创建一个看似恶意的文件(携带特定云标签特征),Defender 检测后触发文件重写机制,将预先准备的恶意 Payload 写入系统关键路径。由于 Defender 以较高权限运行,写入操作发生在 SYSTEM 或管理员上下文环境中,攻击者因此可以获得目标系统的提升权限。
从技术实现角度分析,RedSun 工具首先构造一个符合云标签触发条件的文件样本。该样本在文件结构、哈希特征或行为模式上匹配 Defender 云端黑名单中的某项规则。当样本被写入系统目录(如C:\Windows\System32\或C:\Program Files\)后,Defender 的实时保护模块会立即扫描并识别该文件,随后触发云端查询。云端返回恶意判定后,Defender 的修复模块会执行所谓的「恢复」操作 —— 将文件内容重写回原始位置。此时,原文件已被替换为攻击者预设的恶意内容,且继承 了 Defender 进程的高权限上下文。
权限模型分析:安全边界的失效点
理解这一攻击的本质,需要回顾 Windows 操作系统的权限模型设计。Windows 采用基于角色的访问控制(RBAC)模型,用户账户控制(UAC)构成了标准用户与管理员之间的安全边界。当程序需要执行特权操作时,系统会弹出提升提示,要求用户确认。然而,RedSun 攻击链巧妙地绕过了这一机制:它不依赖传统意义上的令牌提升或 UAC 绕过,而是利用防御软件自身的特权操作来实现文件写入。
从攻击链的技术分解来看,整个过程可分为四个阶段。第一阶段是 Payload 准备阶段,攻击者构造包含恶意代码的文件,该文件的特征符合 Defender 云端黑名单的检测规则。第二阶段是文件部署阶段,将上述文件写入目标系统的任意位置,触发 Defender 的实时扫描。第三阶段是云端检测阶段,Defender 将文件特征上传至云端进行判定,云端返回带有特定标签的恶意判定结果。第四阶段是权限突破阶段,Defender 的修复模块执行文件重写,将 Payload 写入系统保护路径,同时继承 Defender 进程的高权限。
值得注意的是,这一攻击链的成功条件相对严格。攻击者需要准确构造能够触发云标签的文件特征,这要求对 Defender 的检测规则有深入了解。此外,攻击需要在 Defender 实时保护开启的状态下执行,关闭实时保护或关闭 Defender 将导致攻击无法触发。尽管如此,对于无法直接获取管理员权限的攻击者而言,这一攻击向量提供了一条隐蔽的权限提升路径。
2026 年 4 月更新语境:系统访问控制的新变化
2026 年 4 月的 Windows 安全更新为这一攻击向量的防御提供了新的技术背景。本次更新对 Smart App Control(SAC)进行了重大改进,允许管理员直接从 Windows Security 应用启用或禁用 SAC,而无需执行系统重装。SAC 是 Windows 11 引入的智能应用控制机制,通过机器学习模型判断应用的可信度,并在应用执行前进行阻断。这一改变意味着系统对未知应用的默认拒绝策略将更加严格,理论上可以减少恶意文件在系统中的初始部署机会。
与此同时,2026 年 4 月更新还引入了针对 Copilot 的企业管理策略,包括「Remove Microsoft Copilot App」策略项,允许管理员在企业环境中完全移除 Copilot 应用。虽然这一策略与 RedSun 攻击无直接关联,但它反映了微软在系统应用管控方面的持续收紧。从系统访问控制的角度看,这些变化意味着攻击者在目标系统上部署初始触发文件时,将面临更严格的应用程序白名单限制。
在系统文件访问层面,2026 年 4 月更新进一步强化了对系统关键目录的保护机制。Windows Defender 的行为监控模块现在能够更精准地识别异常的文件写入模式,尤其是针对System32和SysWOW64目录的非预期修改。这一改进虽然不能直接阻断 RedSun 攻击链的触发,但可以增加攻击的检测概率。
工程化防御参数与监控要点
针对 RedSun 类型的攻击向量,防御体系需要在多个层面建立监控与响应机制。以下是可落地的工程化参数与配置建议。
在 Defender 配置层面,首先应确保云端保护级别设置为「阻止」而非仅记录。建议通过组策略将MpCloudBlockLevel设置为 2(阻止级别),并配置MpBafsExtendedTimeout为 60 秒以延长云端分析超时时间。其次,应启用EnableFileHashComputation策略,强制 Defender 计算并比对文件的哈希值,增加云标签绕过的难度。最后,定期审计 Defender 的扫描日志,关注事件 ID 为 1116 和 1117 的日志项,这两项分别代表恶意软件被检测和被修复的记录。
在文件监控层面,建议部署针对系统目录的文件系统审计策略。对C:\Windows\System32\、C:\Program Files\、C:\Program Files (x86)\等关键目录启用对象访问审计,记录所有创建、写入和修改操作。监控阈值建议设置为:单一进程在 60 秒内对系统目录的写入操作超过 5 次时触发告警。值得注意的是,Defender 的修复操作会使用MsMpEng.exe或NisSrv.exe进程,监控这些进程的异常文件写入行为尤为重要。
在终端检测与响应(EDR)层面,建议配置以下检测规则。第一,检测来自非预期路径的 DLL 加载行为,尤其是 Defender 进程加载非系统目录的 DLL。第二,监控注册表项HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine下的任何修改,这可能表示攻击者在尝试调整云保护行为。第三,告警任何从用户目录(如C:\Users\)向系统目录复制文件的操作,这类操作在正常企业环境中应极为罕见。
在补丁管理层面,由于 RedSun 攻击依赖于特定的 Defender 行为逻辑,防御者应密切关注 Microsoft 发布的针对 Defender 引擎的更新。2026 年 4 月的累积更新 KB5034XXXX 包含了针对 Defender 行为监控的增强,建议在测试环境中验证兼容性后优先部署。此外,建议建立 Defender 引擎版本的手动检查机制,通过Get-MpComputerStatus命令获取当前引擎版本,并与微软安全情报更新日志进行比对。
攻击面收缩与长期缓解策略
从根本上收缩 RedSun 攻击面的策略,需要从系统架构层面重新审视防御软件的角色定位。首先,应当遵循最小权限原则,即使对于安全软件也应当评估其是否真的需要以 SYSTEM 权限运行。在企业环境中,可以通过配置 Windows Defender 的排除项和限制其扫描范围来减少攻击面,但需要注意这可能影响防护效果。
其次,建议实施应用控制策略的纵深防御。Windows 11 的 SAC 配合 AppLocker 或 Windows Defender Application Control(WDAC)策略,可以在 Defender 行为异常时提供第二层防护。具体配置建议包括:启用 WDAC 的默认拒绝策略,仅允许经过签名验证的应用在系统目录中执行;配置代码完整性日志级别为详细模式,以便在事件响应时获取更多上下文信息。
最后,安全团队应当建立针对防御软件异常的专项响应流程。RedSun 攻击链的一个关键特征是其依赖于 Defender 的正常行为而非漏洞利用,这意味着传统的漏洞扫描器可能无法检测到此类攻击。建议在 Incident Response playbook 中增加针对反病毒软件异常行为的检查清单,包括:Defender 进程对系统目录的异常写入、Defender 云端查询频率的突增、以及 Defender 修复日志中出现的非预期文件路径。
综合而言,RedSun 攻击链揭示了安全软件自身作为攻击面的深层风险。在防御层面,单一的杀毒软件已不足以应对此类高级攻击向量,体系化的监控、细粒度的访问控制以及持续的威胁情报研判构成了不可或缺的三环。2026 年 4 月的 Windows 安全更新虽然在 SAC 管理上提供了更大灵活性,但组织仍需在技术实践层面持续投入,才能在攻防不对称的战场上保持主动。
资料来源:RedSun 项目披露于 GitHub(Nightmare-Eclipse/RedSun),2026 年 4 月 Windows 11 安全更新特性参考 Windows Latest 及 Microsoft 官方文档,Defender MpEngine 策略配置参考 Microsoft ADMX 文档。