APT

此篇文章聚焦在 men.exe 如何繞過 EDR 機制，利用內嵌壓縮檔的解密解壓、BYOVD 以及惡意驅動永久移除端點防護，並使用 DACL 提高持久性與蒐證難度。攻擊者透過分段投放與延後解密，把最敏感的載入器與驅動留到端點防護失效後才釋出，同時串接提權與 AVK，確保下一階段的核心主程式能在幾乎沒有監控阻力的狀態下落地與執行。

本章將聚焦在受害者自 Silver Fox APT 釣魚站點下載並執行安裝檔後，惡意程式如何在端點完成第一階段的解包落地、環境偵測與防護繞過，並把下一階段的載入器悄悄部署到固定位置，讓看似正常的安裝流程，轉變為可持續擴張的多階段攻擊起點。

在針對 Silver Fox APT 相關資產進行情資收集時，我們觀測到一系列具有一致行為模式的前端下載誘導框架。此類站點多以熱門關鍵字進行 SEO 佔位，吸引使用者透過搜尋引擎進入偽裝下載頁。當使用者點擊下載後，站點會載入外部 JavaScript 資源並觸發導流流程，過程中向指定 API 站點請求動態短連結並投放最終載荷。