威胁行为体利用Velociraptor事件响应工具实现远程访问
Sophos反威胁部门(CTU)的研究人员发现一起复杂入侵事件,威胁行为体重新利用了合法的开源Velociraptor数字取证和事件响应(DFIR)工具,在目标网络内建立未经授权的远程访问。
攻击手法
Velociraptor原本设计用于终端可视化和取证分析,但在此次攻击中被恶意部署以下载和执行Visual Studio Code,建立连接攻击者控制命令与控制(C2)服务器的隧道机制。
入侵始于Windows msiexec实用程序从Cloudflare Workers域名(files[.]qaubctgg[.]workers[.]dev)获取名为v2.msi的安装程序文件,该域名作为攻击者工具的暂存库,包含Cloudflare隧道工具和Radmin远程管理工具。
安装完成后,Velociraptor被配置与C2域名velo[.]qaubctgg[.]workers[.]dev通信。攻击者随后执行编码的PowerShell命令从同一暂存位置检索Visual Studio Code(code.exe),并启用隧道功能启动该程序。
为维持持久性,code.exe被安装为Windows服务,其输出被重定向到日志文件进行监控。随后再次调用msiexec通过workers[.]dev基础设施中的sc.msi下载额外恶意软件。
取证分析显示,这一系列操作形成了Velociraptor作为父进程生成Visual Studio Code隧道的进程树。
检测与响应
隧道活动触发了Taegis安全平台的警报,促使Sophos迅速展开调查并提供缓解指南,包括主机隔离,最终挫败了攻击者的目标并可能阻止了勒索软件的部署。
更广泛的影响
该事件突显了威胁行为体日益增长的趋势:滥用远程监控和管理(RMM)工具(包括像Velociraptor这样的事件响应工具)来减少可检测的恶意软件痕迹,并在受感染环境中横向移动。
与传统部署定制恶意软件的攻击不同,这种方法利用了预先存在或新引入的合法工具,例如利用SimpleHelp等系统中的漏洞,或在活跃入侵期间部署工具以实现持久化和数据窃取。
根据报告,CTU分析表明未经授权的Velociraptor使用通常作为勒索软件攻击的前兆,强调需要对意外工具部署和异常行为(如异常隧道或服务安装)保持警惕监控。
防护建议
组织可以通过实施终端检测和响应(EDR)系统来增强防御,仔细检查进程树、网络通信和来自可疑域名的文件下载。
最佳实践包括:
- 限制对已知恶意指标的访问
- 执行最小权限原则
- 维护强大的备份策略以减少攻击影响
Sophos检测规则如Troj/Agent-BLMR、Troj/BatDl-PL和Troj/Mdrop-KDK专门识别相关威胁,实现主动阻断。通过将此类攻击手法观察视为高优先级警报并及时调查,企业可以在攻击升级为数据加密或窃取之前中断攻击链。
入侵指标(IOCs)
| 指标 | 类型 | 上下文 |
|---|---|---|
| files[.]qaubctgg[.]workers[.]dev | 域名 | 2025年8月Velociraptor活动中使用的工具托管域名 |
| velo[.]qaubctgg[.]workers[.]dev | 域名 | 2025年8月Velociraptor活动中使用的C2服务器域名 |