研究人员发现了一次针对政府实体的新攻击,攻击者在此期间使用了一种名为 浩劫(Havoc )的新型 C2 框架。
尽管 C2 框架广泛可用,但 Havoc 作为一种先进的后开发框架脱颖而出,可以躲避最新版本的 Windows 11 Defender。
Zscaler 的研究人员指出,Havoc 是开源的,并且正在成为其付费同行Cobalt Strike 和 Brute Ratel 的替代品。
-
跨平台框架利用睡眠混淆、间接系统调用和返回地址堆栈欺骗。
-
Havoc 是一种先进的后利用 C2 框架,甚至可以绕过最新版本的 Windows 11 Defender。
-
此外,由于它使用了多种复杂的规避技术,因此很难检测到。
-
它允许其操作员执行命令、管理有效载荷、操纵 Windows 令牌、执行下载额外的有效载荷和 ShellCode ,以及其他任务。
-
ShellCode 加载程序会在受感染的系统上停用 Windows 事件跟踪 (ETW),并加载没有 DOS 和 NT 标头的 Havoc 有效负载,所有这些都是为了避免检测。
-
一月份,一个未知的威胁组织对一个未公开的政府组织发动了浩劫。
-
此外,最近的一份报告发现该框架是通过有害的 npm 包 (Aabquerys) 分发的,该包通过。
威胁行为者不断努力地改进他们的 TTP,而使用不同的 C2 框架就是其中之一。
因此,研究人员建议实施主动网络安全解决方案,包括利用预装了高级情报源和丰富资源的威胁情报平台。
Havoc 处于早期发布状态。随着框架的成熟,可能会对 API/核心结构进行重大更改。
参考资料:
网络空间的 Havoc
https://github.com/HavocFramework/Havoc
全文链接:
https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace#analysis
原文始发于微信公众号(网络研究院):新型开源C2框架:浩劫
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论