关键发现
- Check Point Research(CPR)锁定与ToolShell漏洞利用相关的威胁组织Storm-2603,发现其使用代号"ak47c2"的自定义C2框架,包含HTTP(ak47http)和DNS(ak47dns)两种客户端变种
- 2025年上半年,该组织在针对亚太地区的同时,疑似通过VirusTotal数据关联到拉丁美洲的攻击活动
- 攻击技术涉及PsExec、masscan等开源工具,以及利用BYOVD(自带漏洞驱动)技术破坏终端防护的自研工具
- 采用DLL劫持技术同时部署多个勒索软件家族,包括LockBit Black和Warlock/x2anylock的混合攻击
技术分析
AK47 C2框架
-
DNS隧道变种(ak47dns):
- 使用
update.micfosoft[.]com域名进行C2通信 - 采用XOR加密(密钥"VHBD@H")和分段传输机制(每段63字节)
- 命令执行通过
cmd.exe /c实现,支持sleep控制指令
- 使用
-
HTTP变种(ak47http):
- 通信数据封装为JSON结构(含cmd_id/fqdn等字段)
- 相同XOR加密方式,通过HTTP POST传输加密数据
- 调试路径暴露框架开发目录:
C:\Users\Administrator\Desktop\work\tools\ak47c2\
勒索软件投放
- 多家族捆绑:单个MSI安装包同时部署LockBit Black(通过clink_x86.exe侧加载)和Warlock(通过MpCmdRun.exe侧加载)
- 勒索票据:统一使用"How to decrypt my data.log"文件名,包含Tox ID和ProtonMail联系方式
- 典型案例:Evidencia.rar攻击包包含masscan、WinPcap等工具链,以及7z.dll侧加载的x2anylock勒索软件
杀软终止技术
- 使用Antiy Labs签名的合法驱动AToolsKrnl64.sys(重命名为ServiceMouse.sys)
- 通过IOCTL代码0x99000050终止安全进程
- 配套工具VMToolsEng.exe提供进程终止、文件删除、驱动卸载等功能
攻击时间线
| 时间节点 | 事件 |
|---|---|
| 2024年底 | 杀软终止工具首次出现 |
| 2025年3月 | 开始使用update.updatemicfosoft[.]com域名 |
| 2025年4月 | 拉丁美洲多起LockBit+Warlock混合攻击 |
防御建议
- 监控异常DNS查询模式(特别是包含XOR加密特征的子域名)
- 限制PsExec等管理工具的非授权使用
- 验证合法签名的驱动行为(重点关注Antiy相关驱动)
- 建立针对BYOVD攻击的驱动加载白名单机制
IOC指标
- C2域名:
updatemicfosoft[.]com,microsfot[.]org - 文件哈希:
f711b14efb7792033b7ac954ebcfaec8(DNS客户端) - 驱动签名:Antiy Labs证书签名的ServiceMouse.sys