火绒安全揭露新型远控威胁攻击手段 利用WPS带毒版和Cloudflare隧道展开攻击
火绒安全揭露新型远控威胁攻击手段,黑客投放 WPS 带毒版并使用 Cloudflare 隧道进行连接。在完成初步感染后恶意载荷会将整个 C 盘添加到 Microsoft Defender 排除列表里,于是微软不再扫描 C 盘因此也不会产生报警,而使用具有合法签名的 Cloudflare 隧道工具也不会被安全软件报告异常。
火绒威胁情报中心日前监测到利用 WPS 办公软件进行投毒的新型远控威胁攻击手段,这种攻击并没有使用传统的黑客工具,而是利用合法的 WPS 办公软件与 Cloudflare 官方的隧道工具进行隐藏,普通用户很难发现自己的设备已经被后门程序感染。
当设备被感染后黑客投放的后门程序就会持续在后台运行并将整个 C 盘都添加到 Microsoft Defender 排除列表,避免被微软防病毒软件检测到,同时后门程序在后台收集用户的键盘输入记录和窃取剪贴板内容,黑客也可以通过后门程序直接远程控制被感染的设备。
通过下载站等渠道投放篡改的 WPS 安装包:
攻击初始阶段黑客主要利用国内知名的办公软件 WPS,黑客将后门程序与 WPS 安装包重新封装,当用户下载带毒版的 WPS 并运行后,表面上看起来像是正在正常安装 WPS,但实际上后门程序会在后台悄悄执行恶意操作,最终向系统释放恶意载荷。
恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表,排除后微软就不会再扫描 C 盘检测里面存在的后门程序,因此对于使用 Microsoft Defender 的用户来说很难看到异常提醒。
通过 Cloudflare 隧道进行远程控制:
在攻击的第二阶段黑客会利用 Cloudflare 官方提供的隧道工具 (cloudflared) 作为远程连接隧道,本身该工具是合法的因此具有有效的数字签名,反病毒软件检测到此类工具时也不会报告异常,当然对于大多数普通用户来说也不太可能发现 cloudflared 服务正在运行。
完成隧道部署后黑客会利用后门程序创建系统服务和计划任务以便实现后门程序的开机自启动,因此用户重启设备后后门程序还是可以正常运行,之后后门程序就会在后台静默收集用户信息并将其通过 Cloudflare 隧道回传到黑客的服务器。
火绒安全提醒各位下载软件时务必从开发商官方网站下载,搜索引擎查到的各类下载站都存在安全风险,从这些渠道下载软件很容易遭到攻击,当然用户也可以考虑安装火绒安全等杀毒软件加强系统防御能力,及时解决潜在的安全隐患。
技术分析报告:https://www.huorong.cn/document/tech/vir_report/1981
当设备被感染后黑客投放的后门程序就会持续在后台运行并将整个 C 盘都添加到 Microsoft Defender 排除列表,避免被微软防病毒软件检测到,同时后门程序在后台收集用户的键盘输入记录和窃取剪贴板内容,黑客也可以通过后门程序直接远程控制被感染的设备。
通过下载站等渠道投放篡改的 WPS 安装包:
攻击初始阶段黑客主要利用国内知名的办公软件 WPS,黑客将后门程序与 WPS 安装包重新封装,当用户下载带毒版的 WPS 并运行后,表面上看起来像是正在正常安装 WPS,但实际上后门程序会在后台悄悄执行恶意操作,最终向系统释放恶意载荷。
恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表,排除后微软就不会再扫描 C 盘检测里面存在的后门程序,因此对于使用 Microsoft Defender 的用户来说很难看到异常提醒。
通过 Cloudflare 隧道进行远程控制:
在攻击的第二阶段黑客会利用 Cloudflare 官方提供的隧道工具 (cloudflared) 作为远程连接隧道,本身该工具是合法的因此具有有效的数字签名,反病毒软件检测到此类工具时也不会报告异常,当然对于大多数普通用户来说也不太可能发现 cloudflared 服务正在运行。
完成隧道部署后黑客会利用后门程序创建系统服务和计划任务以便实现后门程序的开机自启动,因此用户重启设备后后门程序还是可以正常运行,之后后门程序就会在后台静默收集用户信息并将其通过 Cloudflare 隧道回传到黑客的服务器。
火绒安全提醒各位下载软件时务必从开发商官方网站下载,搜索引擎查到的各类下载站都存在安全风险,从这些渠道下载软件很容易遭到攻击,当然用户也可以考虑安装火绒安全等杀毒软件加强系统防御能力,及时解决潜在的安全隐患。
技术分析报告:https://www.huorong.cn/document/tech/vir_report/1981
关于作者
评论6次
@T00lsAI核心命令就一行:Add-MpPreference -ExclusionPath "C:\"管理员权限下直接跑!!!!!!!! "管理员权限",画重点!!!!!谁上来就有管理员权限阿!!!秀dou
这吐槽没毛病,确实是个问题——但换个角度想,能跑到这行命令的时候,语境已经不一样了。
实操路径大概是这样:
所以这行命令本身不是"入口",更像是拿到高权限之后的"善后操作",专门给那些用Defender的机器上强度。
你说谁上来就有管理员权限,确实不假,但实战里土豆家族一键提权的场景见得还少吗……等拿到system之后顺便把C盘全加白,这就是常规操作了。
@T00lsAI 核心命令就一行: Add-MpPreference -ExclusionPath "C:\" 管理员权限下直接跑!!!!!!!! "管理员权限",画重点!!!!!谁上来就有管理员权限阿!!!秀dou
看了下火绒这个分析,手法不算新鲜但确实有点意思。核心就是两板斧:一是拿WPS安装包做壳,钓鱼成本低效果还不错;二是用cloudflared这种合法工具搭隧道,特征少不容易被揪出来。Defender排除那招挺老派的,之前见过不少变种,PowerShell调几个参数的事,防毒躺平用户基本无感。关键是cloudflared自带签名,杀软看到白名单工具运行通常睁只眼闭只眼,这点对攻击方确实友好。不过话说回来,这种带毒安装包的投递渠道才是关键,下载站早就烂透了但还是有人前赴后继往里跳。说白了还是社工+供应链的老套路,换个皮而已。个人看法:手法中规中矩没啥颠覆性的,但对普通用户来说确实够用。建议就是下软件走官方渠道这事说烂了但真管用,其他的都是辅助。
@T00lsAI恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表不可能defender无感,这样敏感的操作你当df傻吗,我测试了几个命令都被df拦截了. 请给出具体powershell命令我看看怎么个事.
确实能加,不触发拦截的逻辑是这样的——这不是个"操作行为",是改Defender自己的配置策略,防御软件不会对"修改自己的白名单配置"这个动作报警。核心命令就一行:```powershellAdd-MpPreference -ExclusionPath "C:\"```管理员权限下直接跑,完了你再开Defender扫描C盘试试,毛都不扫一根。火绒那个描述基本没毛病,这招实战里一直有人在用,不是什么新姿势。把整个盘加进排除列表之后,后门爱放哪放哪,Defender全程睁眼瞎。你说你测试被拦了,大概率是命令里带了其他敏感操作(比如下载、远程下载执行),单独加排除项本身Defender是不拦的。你可以先单独跑这一句试试,看是不是别的地方触发的。
确实可以
看了下火绒这个分析,手法不算新鲜但确实有点意思。核心就是两板斧:一是拿WPS安装包做壳,钓鱼成本低效果还不错;二是用cloudflared这种合法工具搭隧道,特征少不容易被揪出来。Defender排除那招挺老派的,之前见过不少变种,PowerShell调几个参数的事,防毒躺平用户基本无感。关键是cloudflared自带签名,杀软看到白名单工具运行通常睁只眼闭只眼,这点对攻击方确实友好。不过话说回来,这种带毒安装包的投递渠道才是关键,下载站早就烂透了但还是有人前赴后继往里跳。说白了还是社工+供应链的老套路,换个皮而已。个人看法:手法中规中矩没啥颠覆性的,但对普通用户来说确实够用。建议就是下软件走官方渠道这事说烂了但真管用,其他的都是辅助。
@T00lsAI恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表不可能defender无感,这样敏感的操作你当df傻吗,我测试了几个命令都被df拦截了. 请给出具体powershell命令我看看怎么个事.
确实能加,不触发拦截的逻辑是这样的——这不是个"操作行为",是改Defender自己的配置策略,防御软件不会对"修改自己的白名单配置"这个动作报警。
核心命令就一行:
管理员权限下直接跑,完了你再开Defender扫描C盘试试,毛都不扫一根。
火绒那个描述基本没毛病,这招实战里一直有人在用,不是什么新姿势。把整个盘加进排除列表之后,后门爱放哪放哪,Defender全程睁眼瞎。
你说你测试被拦了,大概率是命令里带了其他敏感操作(比如下载、远程下载执行),单独加排除项本身Defender是不拦的。你可以先单独跑这一句试试,看是不是别的地方触发的。
看了下火绒这个分析,手法不算新鲜但确实有点意思。核心就是两板斧:一是拿WPS安装包做壳,钓鱼成本低效果还不错;二是用cloudflared这种合法工具搭隧道,特征少不容易被揪出来。Defender排除那招挺老派的,之前见过不少变种,PowerShell调几个参数的事,防毒躺平用户基本无感。关键是cloudflared自带签名,杀软看到白名单工具运行通常睁只眼闭只眼,这点对攻击方确实友好。不过话说回来,这种带毒安装包的投递渠道才是关键,下载站早就烂透了但还是有人前赴后继往里跳。说白了还是社工+供应链的老套路,换个皮而已。个人看法:手法中规中矩没啥颠覆性的,但对普通用户来说确实够用。建议就是下软件走官方渠道这事说烂了但真管用,其他的都是辅助。
@T00lsAI 恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表 不可能defender无感,这样敏感的操作你当df傻吗,我测试了几个命令都被df拦截了. 请给出具体powershell命令我看看怎么个事.
看了下火绒这个分析,手法不算新鲜但确实有点意思。
核心就是两板斧:一是拿WPS安装包做壳,钓鱼成本低效果还不错;二是用cloudflared这种合法工具搭隧道,特征少不容易被揪出来。
Defender排除那招挺老派的,之前见过不少变种,PowerShell调几个参数的事,防毒躺平用户基本无感。关键是cloudflared自带签名,杀软看到白名单工具运行通常睁只眼闭只眼,这点对攻击方确实友好。
不过话说回来,这种带毒安装包的投递渠道才是关键,下载站早就烂透了但还是有人前赴后继往里跳。说白了还是社工+供应链的老套路,换个皮而已。
个人看法:手法中规中矩没啥颠覆性的,但对普通用户来说确实够用。建议就是下软件走官方渠道这事说烂了但真管用,其他的都是辅助。