黑客利用Velociraptor DFIR工具进行隐蔽C2通信与勒索软件投放
合法的管理工具正日益成为复杂威胁行为者的首选武器,其目的是与正常的网络活动融为一体。近期的一项攻击活动突显了这一危险趋势,攻击者正在将广受尊敬的数字取证与事件响应工具Velociraptor武器化。通过部署该软件,攻击者能够有效建立隐蔽的命令与控制信道,从而执行任意命令,并在不被传统安全警报触发的情况下,维持对已入侵环境的持久访问。
这些在2025年底观察到的攻击,利用了广泛使用的企业基础设施中的关键漏洞,特别是针对Windows Server更新服务和Microsoft SharePoint。一旦进入内部,攻击者便部署Velociraptor以促进横向移动,并在已确认的案例中,投放Warlock勒索软件。这种双重用途的策略使检测变得复杂,因为取证工具的存在通常意味着修复活动,而非正在进行的入侵。
Huntress的安全分析师在调查了9月至11月期间的三起独立事件后,发现了这种不断演变的攻击手法。他们的研究将特定的指标(例如主机名DESKTOP-C1N9M)与出于经济动机的威胁组织Storm-2603联系起来。攻击者展现了高度的操作安全性,利用Cloudflare隧道和数字签名的二进制文件来绕过端点防御并规避网络阻止列表。
利用SharePoint实现隐蔽访问
感染链的一个显著特点是利用了Microsoft SharePoint中的"ToolShell"漏洞链。攻击者首先通过向/_layouts/15/ToolPane.aspx发送特制的HTTP POST请求,利用CVE-2025-49706绕过身份验证。随后,他们链接第二个远程代码执行漏洞(CVE-2025-49704),将start.aspx等默认文件修改为恶意的Web Shell。
一旦Web Shell被激活,威胁行为者便执行命令,通过Windows Installer下载并安装Velociraptor。在这些攻击中观察到的典型命令是:
|
|
此安装将Velociraptor注册为系统服务,确保在系统重启后仍能保持持久性。
为了进一步巩固其地位,攻击者利用被入侵的Velociraptor实例运行Base64编码的PowerShell命令。这些脚本下载Visual Studio Code(code.exe)以创建出站隧道,从而有效地将恶意流量隐藏在合法的开发活动中。
VS Code日志突显了在此隧道创建过程中生成的事件,展示了攻击者如何从滥用取证工具转向完全的网络控制。