威胁攻击者利用Velociraptor事件响应工具获取远程访问权限

Sophos公司反威胁小组（CTU）的研究人员发现了一起复杂的入侵事件，威胁攻击者将合法的开源数字取证与事件响应（DFIR）工具Velociraptor进行恶意利用，以便在目标网络中建立未经授权的远程访问。

Velociraptor原本设计用于端点可见性和取证分析，但在这次攻击中被恶意部署以下载并执行Visual Studio Code，进而建立了一个连接到攻击者控制的命令与控制（C2）服务器的隧道机制。这种策略允许潜在的远程访问和代码执行，此前已被多个威胁组织使用过。

采用的战术

此次入侵始于利用Windows的msiexec实用程序从一个Cloudflare Workers域（files[.]qaubctgg[.]workers[.]dev）获取一个名为v2.msi的安装程序文件。该域充当了攻击者工具的暂存仓库，其中包含了Cloudflare隧道工具和Radmin远程管理工具。

安装完成后，Velociraptor被配置为与C2域velo[.]qaubctgg[.]workers[.]dev通信。攻击者随后执行了一条经过编码的PowerShell命令，从同一暂存位置检索Visual Studio Code（code.exe）并启动它，同时启用了隧道功能。

为了保持持久性，code.exe被安装为Windows服务，并将其输出重定向到一个日志文件以便监控。随后，再次调用msiexec通过来自workers[.]dev基础设施的sc.msi下载额外的恶意软件。这一系列操作形成了一个进程树，其中Velociraptor作为父进程生成了Visual Studio Code隧道，这在法医分析中得到了观察。

隧道活动触发了Taegis安全平台的警报，促使Sophos迅速展开调查，并提供了包括主机隔离在内的缓解指导，最终挫败了攻击者的目标，并可能阻止了勒索软件的部署。

更广泛的影响

这一事件突显了威胁攻击者中一个日益增长的趋势，即滥用远程监控和管理（RMM）工具（包括像Velociraptor这样的事件响应工具），以尽量减少可检测的恶意软件痕迹，并在受感染环境中横向移动。与部署定制恶意软件的传统攻击不同，这种方法利用了预先存在或新引入的合法工具，例如利用SimpleHelp等系统中的漏洞，或在活动入侵期间部署工具，以实现持久化和数据外泄。

根据报告，CTU分析表明，未经授权的Velociraptor使用通常是勒索软件攻击的前兆，这强调了需要对意外的工具部署以及异常行为（如异常的隧道或服务安装）进行警惕性监控。

组织可以通过部署端点检测与响应（EDR）系统来加强防御，仔细检查进程树、网络通信以及来自可疑域的文件下载。最佳实践包括限制对已知恶意指标（IOCs）的访问、执行最小权限原则以及保持强大的备份策略以降低攻击影响。Sophos的检测规则，如Troj/Agent-BLMR、Troj/BatDl-PL和Troj/Mdrop-KDK，专门识别相关威胁，从而实现主动拦截。通过将对此类手法的观察视为高优先级警报并及时调查，企业可以在攻击链升级为数据加密或外泄之前将其破坏。

攻击指标（IOCs）