研究人员发现了一次针对政府实体的新攻击,攻击者在此期间使用了一种名为 浩劫(Havoc )的新型 C2 框架。
尽管 C2 框架广泛可用,但 Havoc 作为一种先进的后开发框架脱颖而出,可以躲避最新版本的 Windows 11 Defender。
Zscaler 的研究人员指出,Havoc 是开源的,并且正在成为其付费同行Cobalt Strike 和 Brute Ratel 的替代品。
- 跨平台框架利用睡眠混淆、间接系统调用和返回地址堆栈欺骗。
- Havoc 是一种先进的后利用 C2 框架,甚至可以绕过最新版本的 Windows 11 Defender。
- 此外,由于它使用了多种复杂的规避技术,因此很难检测到。
- 它允许其操作员执行命令、管理有效载荷、操纵 Windows 令牌、执行下载额外的有效载荷和 ShellCode ,以及其他任务。
- ShellCode 加载程序会在受感染的系统上停用 Windows 事件跟踪 (ETW),并加载没有 DOS 和 NT 标头的 Havoc 有效负载,所有这些都是为了避免检测。
- 一月份,一个未知的威胁组织对一个未公开的政府组织发动了浩劫。
- 此外,最近的一份报告发现该框架是通过有害的 npm 包 (Aabquerys) 分发的,该包通过。
威胁行为者不断努力地改进他们的 TTP,而使用不同的 C2 框架就是其中之一。
因此,研究人员建议实施主动网络安全解决方案,包括利用预装了高级情报源和丰富资源的威胁情报平台。
Havoc 处于早期发布状态。随着框架的成熟,可能会对 API/核心结构进行重大更改。
参考资料:
网络空间的 Havoc
Zscaler ThreatLabz 研究团队观察到一项针对政府组织的新活动,其中威胁行为者使用名为Havoc的新命令与控制 (C2) 框架。虽然 C2 框架很多,但开源 Havoc 框架是一种先进的后开发命令和控制框架,由于实施了间接系统调用和睡眠混淆等高级规避技术,能够绕过最新和更新版本的 Windows 11 Defender。下面的技术分析概述了最近发现的使用 Havoc 的针对政府组织的攻击活动,并揭示了威胁参与者如何在各种活动中利用它。
https://github.com/HavocFramework/Havoc
全文链接:
https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace#analysi
