初始访问
此次入侵始于精心设计的钓鱼攻击。攻击者通过Microsoft Teams冒充IT支持人员联系目标用户,利用Teams默认允许外部通信的特性建立会话。攻击者诱导用户开启Windows原生远程管理工具Quick Assist(基于RDP协议),随后要求下载Zoho Meeting等第三方远程管理工具。通过curl命令从攻击者控制IP下载ZIP文件(updqem.zip)后,在目标主机创建嵌套目录结构:
|
|
QEMU虚拟机部署
攻击者在目录中部署了两个关键Qemu可执行文件:
C:\ProgramData\update\stl\stl.exeC:\ProgramData\update\tc.exe
配合两个VBS脚本实现不同部署方式:
- update.vbs:通过配置文件upd.conf传递虚拟机参数(512MB内存、IDE虚拟磁盘、tc.qcow2镜像)
- ##START##.vbs:直接在命令行声明参数(更小内存分配)
分析发现两个镜像文件:
- 初始镜像:
C:\ProgramData\update\stl\tc.qcow2 - 二次尝试镜像:
C:\ProgramData\update\update/tc.qcow2(体积更大)
SSH后门尝试
通过提取镜像文件分析bash历史记录发现:
-
首次尝试:
- 使用wget从149.28.198[.]232下载123.out后门文件
- 修改bootlocal.sh实现持久化(循环检测45.77.4[.]101可达性后执行后门)
- 配置filetool.lst确保/tc目录持久化
-
二次尝试:
- 安装openssh并配置hostname.sh生成随机主机名(tc-xxxxx)
- 建立反向SSH隧道至137.184.4[.]169:443
- 使用
UserKnownHostsFile=/dev/null和StrictHostKeyChecking=no规避取证
防御建议
-
策略配置:
- 限制Microsoft Teams外部租户通信
- 通过组策略禁用Quick Assist(计算机配置>管理模板>系统>远程协助)
-
技术控制:
- 监控未授权的虚拟化软件(Qemu/VirtualBox/VMware)
- 阻断非业务必需的SSH出站流量
- 检测异常镜像文件(.qcow2/.vmdk等)
-
威胁指标:
- 文件哈希:8697ff6c68e4d029b4980fed99f3ff96(tc.exe)
- C2地址:137.184.4[.]169、82.118.16[.]49
该案例展示了攻击者如何通过轻量级虚拟机绕过主机安全检测,凸显了社交工程与虚拟化技术结合产生的隐蔽威胁。