威胁分子利用Velociraptor事件响应工具实现远程访问

Sophos反威胁部门（CTU）的研究人员发现了一起复杂的入侵事件，威胁分子重新利用了合法的开源Velociraptor数字取证和事件响应（DFIR）工具，在目标网络内建立未经授权的远程访问。

采用的战术

入侵始于Windows msiexec实用程序从Cloudflare Workers域（特别是files[.]qaubctgg[.]workers[.]dev）获取名为v2.msi的安装程序文件，该域作为攻击者工具的暂存存储库，包括Cloudflare隧道实用程序和Radmin远程管理工具。

安装后，Velociraptor被配置为与C2域velo[.]qaubctgg[.]workers[.]dev通信。攻击者随后执行编码的PowerShell命令，从同一暂存位置检索Visual Studio Code（code.exe），并启用隧道功能启动它。

为保持持久性，code.exe被安装为Windows服务，其输出被重定向到日志文件进行监控。随后，再次调用msiexec通过workers[.]dev基础设施中的sc.msi下载其他恶意软件。

在取证分析中观察到，这一序列形成了一个进程树，其中Velociraptor作为父进程生成Visual Studio Code隧道。

隧道活动触发了Taegis安全平台中的警报，促使Sophos迅速展开调查，提供了缓解指南，包括主机隔离，最终挫败了攻击者的目标并可能阻止了勒索软件的部署。

更广泛的影响

此事件突显了威胁分子中日益增长的趋势，他们滥用远程监控和管理（RMM）工具，包括像Velociraptor这样的事件响应实用程序，以最小化可检测的恶意软件足迹并在受感染环境中进行横向移动。

与部署定制恶意软件的传统攻击不同，这种方法利用了预先存在或新引入的合法工具，例如利用SimpleHelp等系统中的漏洞，或在主动入侵期间部署工具以实现持久性和数据窃取。

根据报告，CTU分析表明，未经授权的Velociraptor使用通常作为勒索软件的前兆，强调需要对意外工具部署和异常行为（如异常隧道或服务安装）进行警惕监控。

组织可以通过实施端点检测和响应（EDR）系统来检查进程树、网络通信和来自可疑域的文件下载，从而增强防御。最佳实践包括限制对已知恶意指标的访问，强制执行最小权限原则，并维护强大的备份策略以减少攻击影响。

Sophos检测如Troj/Agent-BLMR、Troj/BatDl-PL和Troj/Mdrop-KDK专门识别相关威胁，实现主动阻止。通过将对此类技术的观察视为高优先级警报并迅速调查，企业可以在升级到数据加密或窃取之前中断攻击链。

入侵指标（IOCs）