去年全球企业为远程办公砸下的安全预算,够买下半个硅谷。但Censys ARC最新报告泼了盆冷水:一款叫"CTRL"的俄罗斯工具包,正用3个不起眼的.NET文件,把这套防线变成摆设。
研究人员在扫描开放目录时,从一个名为hui228[.]ru的域名捞到了恶意LNK文件和三个载荷。这套框架当时还没出现在任何公开恶意软件库或主流威胁情报源里——不是因为它不够危险,而是它根本没打算广撒网。
把钓鱼、键盘记录、反向隧道塞进同一个攻击链
CTRL的开发者显然懂Windows。整个工具包基于.NET框架,从钓鱼到持久化,所有环节被串成一条流水线。
攻击起点是个伪装成私钥存档文件夹的快捷方式文件。用户双击后,隐藏的PowerShell代码开始在内存中解码并运行多阶段加载器——全程不落盘,传统杀毒软件很难嗅到痕迹。
载荷被塞进Windows注册表的Explorer相关路径下,和正常系统数据混在一起。随后创建计划任务、添加防火墙规则、下载更多组件,为长期驻留铺路。
最棘手的是权限提升环节。CTRL用注册表劫持配合微软签名的二进制文件,绕过用户账户控制(UAC)。一旦拿到管理员权限,整套工具包完成安装,重启后依然健在。
偷偷开RDP后门,还能伪造Windows Hello界面
CTRL最狠的功能藏在远程桌面协议(RDP)里。它修补termsrv.dll并安装RDP Wrapper,让攻击者能创建并发的远程桌面会话——受害者屏幕上看不到任何提示,以为自己只是电脑变慢了。
工具包还内置了一个假的Windows Hello PIN输入框。Censys研究人员描述,这个钓鱼窗口几乎像素级复制了正版界面,显示受害者的真实账户信息,甚至会把偷来的PIN拿去和真实认证流程比对验证。
键盘记录器在后台默默运行。攻击者通过名为ctrlPipe的命名管道执行命令,直接在已劫持的RDP会话里操控机器,不需要传统C2信道那种容易被检测的周期性心跳。
为了进一步降低网络可见性,CTRL用Fast Reverse Proxy(FRP)建立反向隧道,回连到194.33.61.36、109.107.168.18等攻击者控制的基础设施。这种设计避开了商品化远控工具常见的经典信标模式。
俄语字符串和开发痕迹指向特定开发者群体
Censys ARC将这次行动与俄罗斯语系开发者关联,依据是代码中的俄语字符串、开发 artifacts 以及配套基础设施细节。工具包针对现代Windows系统构建,包括近期发布的版本,说明仍在积极维护。
这种"私人定制"而非"批量分销"的模式,让CTRL长期游离在主流安全雷达之外。企业花大价钱买的威胁情报订阅,可能根本收不到它的警报。
报告披露时,Censys ARC已识别出相关基础设施,但工具包的传播范围、具体目标行业、以及是否与已知APT组织存在关联,仍是空白。你的EDR能检测到内存中的.NET加载器吗?防火墙日志里有没有出现过FRP隧道的特征?
热门跟贴