随着信息技术的飞速发展,网络威胁也日趋复杂多样。近期,网络安全研究人员发现攻击者利用开源的终端监控及数字取证工具Velociraptor,部署Visual Studio Code以建立命令与控制(Command and Control,简称C2)隧道,此技术手段揭示了攻击者在滥用合法软件方面的新策略。Velociraptor原本是供安全专家和事件响应人员使用的工具,旨在帮助快速采集和分析网络终端的数字证据,协助查明安全事件。然而,攻击者正借助其公开、强大的功能,实现对目标系统的隐蔽控制,回避传统防御措施。攻击链的开头通常是利用Windows自带的msiexec工具,从Cloudflare Workers托管的域名下载MSI安装包,该包包含了被篡改或定制的Velociraptor版本。安装Velociraptor后,攻击者通过与另一个Cloudflare Workers域的通信,实现远程控制的建立。
更进一步,攻击者利用编码的PowerShell命令,从同一服务器下载Visual Studio Code,并启用其内置的隧道功能。该功能允许远程访问和远程代码执行,使攻击者可以在被害主机上伪装操作,规避安全监测。此攻击手法反映“活用现成工具”(Living-off-the-land)策略的升级。攻击者无需开发专有恶意软件,而是借助合法或公开的管理及诊断软件获取网络立足点,极大增加了检测难度和响应复杂度。黑客利用官方软件的信任度和普及度,使防御者难以通过传统安全产品如杀毒软件或端点检测防护(EDR)进行精准识别。Sophos的反威胁团队指出,Velociraptor的异常使用极有可能成为勒索软件攻击的前兆,安全团队应重点监控不可疑的Velociraptor启用及相关进程。
企业应建立严格的访问权限管理,避免员工随意安装未经批准的工具,并加大实时监控力度,对异常的外发网络连接及权威记录进行深度分析。此次事件也暴露出攻击者利用云服务平台作为工具和中转站的新趋势。Cloudflare Workers因其易用性和强大地理分布优势,成为攻击者撑握控制链的理想踪迹隐匿点。此外,攻击者还多次利用msiexec再度从workers.dev目录下下载其他恶意载荷,增强持久性和横向渗透能力。与此同时,相关安全报告也指出微软Teams成为另一个攻击载体。恶意租户冒充企业内部支持团队,通过直接消息或语音通话诱骗目标下载远程访问工具。
一旦获得控制权,攻击者便能植入具有密码窃取、权限持续和远程代码执行功能的恶意PowerShell脚本。这种策略省略了传统邮件钓鱼的步骤,令防御力量难以抵御。此外,这些攻击往往伪装成日常技术支持请求,配合Windows凭证提示诱导用户输入密码,形成隐秘数据泄露点。针对当下复杂的威胁态势,企业必须完善安全监测方案,尤其关注Velociraptor相关进程的运行日志以及注册表项的异常修改。Rapid7等安全厂商建议关注事件日志中ID为1000的应用程序事件,及时发现未经签名且异常执行的二进制文件。结合端点检测及响应(EDR)系统的部署,有助于快速发现潜在入侵行为。
升级员工的安全意识培训,提升识别伪装支援请求的能力,是防止社会工程学攻击的关键。同时通过加强审核日志审查,及时发现异常聊天创建或消息发送行为,也降低利用微软Teams的攻击风险。更广泛地说,攻击者利用合法企业服务和系统进行攻击,不仅展示了他们的行动隐蔽性,也客观上挑战了企业对现有信任关系的重新评估。尤其是Active Directory联合身份服务(ADFS)被利用设置钓鱼重定向,令基于网址的防护措施更为复杂。恶意钓鱼页面通过微软官方重定向机制进行托管,进一步提升了欺骗的可信度。企业和安全服务提供商需在多层次防护架构基础上,结合智能行为分析和威胁情报协作,强化对攻击前兆的预警与响应能力。
总结来看,攻击者对Velociraptor和Visual Studio Code联合使用的滥用行为,揭示了网络攻击技术更新迭代的一个重要方向——利用现有合法工具实现隐蔽控制,降低新型恶意软件暴露的风险。面对这一挑战,企业组织除了继续完善技术防御,还需要建立全面的安全文化,提升全员防范意识与快速响应能力。对安全事件进行彻底的溯源与复盘,推动安全架构的持续优化,将成为抵御未来类似攻击的有效途径。持续关注安全行业的最新动态,积极采纳最佳实践,能够帮助企业在不断演化的威胁环境中立于不败之地。
