2025 年 8 月初,安全团队发现一种新型僵尸网络菌株成功避开了标准 Windows Defender 的检测。
这种恶意软件家族被命名为 NightshadeC2,它同时利用 C 语言和 Python 编写的攻击载荷,在已攻陷的主机上建立持久化远程控制权限。
初始感染链通常始于定制化的 “ClickFix” 钓鱼着陆页 —— 这类页面诱导用户通过 Windows “运行” 对话框执行命令;而次级攻击活动则会使用植入恶意代码的热门工具安装程序,例如高级 IP 扫描器(Advanced IP Scanner)、系统清理工具(CCleaner)以及各类虚拟专用网络(VPN)客户端。
一旦执行,NightshadeC2 会迅速提升权限,将自身组件设为 Windows Defender 扫描的排除项或直接禁用 Defender,随后与动态变化的命令与控制(C2)基础设施建立通信连接(即 “回传数据”)。
随着攻击活动的展开,eSentire 公司的分析师识别出一个负责交付最终攻击载荷的独特加载器组件。
这个基于.NET 框架的加载器会以循环方式运行,启动 PowerShell 进程 —— 在允许最终攻击载荷运行前,该进程会先为 NightshadeC2 添加 Windows Defender 排除项。
若 Windows Defender 服务检查失败,或用户拒绝授予权限(即 “提权”),该加载器会反复弹出请求提示,无休无止。研究人员将这种技术命名为 “UAC 弹窗轰炸(UAC Prompt Bombing)”。
(以 Booking [.] com 为主题的 ClickFix 攻击(来源:eSentire))
这种持续不断的权限提升请求,不仅会让恶意软件分析沙箱陷入困境,还会迫使真实用户授予必要权限以继续操作。
成功添加 Windows Defender 排除项后,加载器会在三个不同的注册表位置(Winlogon、RunOnce、Active Setup)写入持久化条目,确保系统启动时能自动执行恶意程序。
随后,它会通过通常用于网页流量的 TCP 端口(80 端口、443 端口)或高位端口(7777 端口、33336 端口、33337 端口),下载并解密核心的 C 语言版本攻击载荷。
该恶意软件会立即通过公共地理 IP 查询服务和注册表查询收集受害者系统信息,生成唯一的设备指纹,之后再与 C2 服务器协商生成一个经 RC4 加密的会话密钥。
通过这个秘密通信通道,攻击者可下达一系列命令,包括启动反向 shell、下载攻击载荷、截取屏幕截图以及自动记录键盘输入(即 “键盘记录”)等。
NightshadeC2 实现隐蔽性的核心在于其 “UAC 弹窗轰炸” 流程。加载.NET 模块后,加载器会构造一条 PowerShell 命令,将尚未写入的攻击载荷添加到 Defender 排除列表中,代码如下:
while ($exitCode -ne 0) {
Start-Process powershell -ArgumentList '-Command "Add-MpPreference -ExclusionPath C:\Windows\Temp\payload.exe"' -Wait
$exitCode = $LastExitCode
}
(第二阶段 PowerShell 加载器(来源:eSentire))
上述代码展示了第二阶段 PowerShell 加载器如何拼接排除项命令。
当 Windows Defender 被禁用或无响应时,进程退出代码会始终非零,导致沙箱分析陷入无限循环。
这种强制重复弹出的 UAC 对话框,会有效突破自动化防御机制,即恶意软件沙箱中的 “规避循环”。
(UAC 弹窗的 “显示详细信息” 界面(来源:eSentire))
一旦用户最终同意提权,或 Windows Defender 服务状态发生变化,循环便会终止,最终攻击载荷随之交付。
借助这种简单却高效的机制,NightshadeC2 既能避开自动化检测,也能逃过人工检查。攻击者可借此从主流浏览器中窃取凭证、在受害者桌面建立隐藏浏览器,并在目标网络中实现长期持久化控制。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
