2025 年 5 月初,安全团队开始观察到利用名为 AdaptixC2 的开源命令和控制框架的后利用活动突然增加。
该框架最初是为了协助渗透测试人员而开发的,它提供了一系列功能——文件系统操作、进程枚举和隐蔽通道隧道——现在这些功能已被恶意行为者采用。
该框架的模块化设计和通过“扩展器”的可扩展性使其对于寻求可定制工具包以逃避传统防御的对手特别有吸引力。
Palo Alto Networks 的研究人员指出,在威胁情报源开始报告多个部门的感染之前,AdaptixC2 基本上一直未被发现。
早期的一次活动依靠通过虚假的帮助台远程支持请求进行社会工程学,诱骗用户执行快速协助会话,从而释放多阶段PowerShell 加载程序。
几分钟之内,攻击者就实现了信标的内存执行,没有丢弃任何文件,绕过了端点检测措施,并对受害者主机建立了持久控制。
随着事件的激增,出现了另一组入侵事件,其中涉及旨在部署 AdaptixC2 的 AI 生成脚本。
Palo Alto Networks 分析师确定了风格标记(编号注释和详细输出确认),这些标记指向由大型语言模型生成的代码。
这些脚本不仅下载并解密了 Base64 编码的有效负载,还使用 .NET 的 GetDelegateForFunctionPointer 直接在内存中执行 shellcode。
通过利用内置的 Windows API(例如 VirtualProtect 和 CreateProcess),攻击者实现了隐秘部署和可靠的持久性。
在这两种情况下,影响都非常显著。受感染的环境会通过 SOCKS4/5 隧道和端口转发进行横向移动,从而实现小块数据泄露,并混入正常的流量模式。
在一个记录在案的案例中,攻击者将 AdaptixC2 与 Fog勒索软件结合起来,对亚洲一家金融机构发起攻击,展示了该框架的多功能性和放大下游有效载荷的潜力。
依赖传统检测系统的组织发现自己对这种模块化、不断演变的威胁准备不足。
链接代理和会话的图形视图,突出显示攻击者如何映射可用目标并计划多阶段操作。
加密的配置参数(RC4 加密的有效负载与其密钥一起存储在 PE 标头中)允许快速定制通信配置文件。
通过无文件 PowerShell 加载程序的感染机制
AdaptixC2 部署最阴险的元素之一是其无文件感染机制,该机制完全在内存中执行以逃避基于磁盘的防御。
初始向量通常以看似无害的 PowerShell 脚本开始,通过社会工程电子邮件或远程支持提示传递。
执行后,脚本调用 Invoke-RestMethod 从合法云存储服务中检索 Base64 编码的 shellcode 有效负载。
然后,它解码此有效负载并调用 VirtualAlloc 分配具有 PAGE_EXECUTE_READWRITE 权限的内存区域。
使用反射和动态调用,加载器构造一个指向 shellcode 入口点的委托:
var ptr = GetDelegateForFunctionPointer(shellcodePtr, typeof(Action));
((Action)ptr)();这种方法避免了编写可执行文件的需求,从而最大程度地减少了取证痕迹。成功执行后,该脚本会在用户的“启动”文件夹中调用 CreateShortcut,或以用户熟悉的名称(例如“Updater”)将 Run 键写入注册表,以确保信标在重启后仍然有效。
通过可配置的 KillDate 和 WorkingTime 参数(将信标活动限制在预定义的窗口内)以及可定制的用户代理字符串和 HTTP 标头,可以进一步增强检测逃避能力。
因此,安全团队必须通过基于内存的检测和网络行为分析来丰富遥测技术,以便在这些飞行中的有效载荷完全建立其 C2 通道之前拦截它们。
持续监控动态调用 API 和异常的 PowerShell 子进程对于破坏这种现代无文件感染链仍然至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
