从攻击事件中捡到的渗透对抗框架
字数 1442 2025-11-13 12:05:38

AdaptixC2渗透对抗框架技术分析文档

一、框架发现与初始攻击向量

1.1 攻击发现过程

该框架通过PowerShell加载器在攻击过程中被发现,加载器从合法服务链接下载经过编码与加密的有效Payload。

1.2 PowerShell加载器技术细节

加载流程:

  1. 从合法服务下载经过编码与加密的Payload
  2. 使用简单XOR密钥对Payload进行解密
  3. 采用无文件化技术,避免写入磁盘

内存执行技术:

# 关键技术点:
- 使用.NET功能在PowerShell进程内部申请内存空间
- 将解密后的shellcode复制到内存区域
- 采用"动态调用"技术直接从内存执行shellcode
- 使用GetDelegateForFunctionPointer方法创建指向shellcode的委托

1.3 持久化机制

在启动文件夹中创建快捷方式,确保恶意进程在系统重启后自动启动。

二、AdaptixC2框架核心功能

2.1 基本控制能力

  • 文件系统操纵:列出目录、创建/修改/删除文件及文件夹
  • 进程管理:枚举运行进程、终止应用程序、启动新程序
  • 网络横向移动:在网络内建立并维持立足点

2.2 隐蔽通信能力

  • 隧道功能:支持SOCKS4/5代理和端口转发
  • 绕过网络限制:在严格防护网络中维持通信渠道

2.3 模块化架构

  • 扩展器设计:类似插件的模块化架构
  • 定制化载荷:根据目标系统特点创建定制有效载荷
  • 规避检测:支持多种规避技术

三、技术特性深度分析

3.1 信标对象文件(BOFs)支持

  • 在代理进程内直接运行C语言编写的小型程序
  • 有效规避安全检测机制

3.2 多架构支持

  • 支持x86和x64架构
  • 生成多种格式的有效Payload:
    • 独立可执行文件(EXE)
    • 动态链接库(DLL)
    • 服务可执行文件
    • 原始shellcode

3.3 数据外泄功能

  • 支持配置文件上传下载的分块大小设置
  • 通过小数据段传输规避基于网络的检测系统

四、配置体系分析

4.1 配置类型

  1. BEACON_HTTP:基于网络的通信
  2. BEACON_SMB:命名管道通信
  3. BEACON_TCP:直接TCP连接

4.2 HTTP配置文件参数

  • 服务器地址和端口号
  • SSL设置
  • HTTP方法(POST)
  • URI路径(/uri.php)
  • 请求头(X-Beacon-Id参数)
  • 用户代理字符串

4.3 默认配置示例

  • 目标地址:172.16.196.1:4443
  • 通信协议:HTTPS
  • 访问端点:/uri.php
  • 标识参数:X-Beacon-Id

五、加密与安全机制

5.1 配置加密方案

  • 加密算法:RC4加密
  • 存储结构
    • 4字节:配置大小(32位整数)
    • N字节:RC4加密的配置数据
    • 16字节:RC4加密密钥

5.2 操作安全功能

  • KillDate:设置停止信标工作的终止日期
  • WorkingTime:设定信标活动时间段
  • 流量混淆:混入正常网络流量
  • 反分析技术:自定义混淆和规避技术

六、防御检测建议

6.1 检测指标

  1. 进程行为检测

    • PowerShell内存加载异常行为
    • 动态委托创建模式监控

  2. 网络流量检测

    • 异常HTTPS通信模式
    • X-Beacon-Id头字段检测
    • 固定端口4443的通信监控

  3. 系统行为检测

    • 启动文件夹快捷方式异常创建
    • 命名管道异常通信

6.2 防护措施

  1. 应用白名单:限制PowerShell执行权限
  2. 内存保护:监控异常内存分配行为
  3. 网络监控:深度检测加密流量模式
  4. 端点检测:实时监控进程创建行为

七、框架演进趋势

该框架采用持续演变的威胁模型,通过模块化设计支持功能扩展,攻击者可根据目标环境特点定制攻击链,具备较强的适应性和隐蔽性。

:本文档仅用于安全研究和技术防御目的,严禁用于非法活动。所有技术信息应遵循《中华人民共和国网络安全法》相关规定。

AdaptixC2渗透对抗框架技术分析文档 一、框架发现与初始攻击向量 1.1 攻击发现过程 该框架通过PowerShell加载器在攻击过程中被发现,加载器从合法服务链接下载经过编码与加密的有效Payload。 1.2 PowerShell加载器技术细节 加载流程: 从合法服务下载经过编码与加密的Payload 使用简单XOR密钥对Payload进行解密 采用无文件化技术,避免写入磁盘 内存执行技术: 1.3 持久化机制 在启动文件夹中创建快捷方式,确保恶意进程在系统重启后自动启动。 二、AdaptixC2框架核心功能 2.1 基本控制能力 文件系统操纵 :列出目录、创建/修改/删除文件及文件夹 进程管理 :枚举运行进程、终止应用程序、启动新程序 网络横向移动 :在网络内建立并维持立足点 2.2 隐蔽通信能力 隧道功能 :支持SOCKS4/5代理和端口转发 绕过网络限制 :在严格防护网络中维持通信渠道 2.3 模块化架构 扩展器设计 :类似插件的模块化架构 定制化载荷 :根据目标系统特点创建定制有效载荷 规避检测 :支持多种规避技术 三、技术特性深度分析 3.1 信标对象文件(BOFs)支持 在代理进程内直接运行C语言编写的小型程序 有效规避安全检测机制 3.2 多架构支持 支持x86和x64架构 生成多种格式的有效Payload: 独立可执行文件(EXE) 动态链接库(DLL) 服务可执行文件 原始shellcode 3.3 数据外泄功能 支持配置文件上传下载的分块大小设置 通过小数据段传输规避基于网络的检测系统 四、配置体系分析 4.1 配置类型 BEACON_ HTTP :基于网络的通信 BEACON_ SMB :命名管道通信 BEACON_ TCP :直接TCP连接 4.2 HTTP配置文件参数 服务器地址和端口号 SSL设置 HTTP方法(POST) URI路径(/uri.php) 请求头(X-Beacon-Id参数) 用户代理字符串 4.3 默认配置示例 目标地址:172.16.196.1:4443 通信协议:HTTPS 访问端点:/uri.php 标识参数:X-Beacon-Id 五、加密与安全机制 5.1 配置加密方案 加密算法 :RC4加密 存储结构 : 4字节:配置大小(32位整数) N字节:RC4加密的配置数据 16字节:RC4加密密钥 5.2 操作安全功能 KillDate :设置停止信标工作的终止日期 WorkingTime :设定信标活动时间段 流量混淆 :混入正常网络流量 反分析技术 :自定义混淆和规避技术 六、防御检测建议 6.1 检测指标 进程行为检测 : PowerShell内存加载异常行为 动态委托创建模式监控 网络流量检测 : 异常HTTPS通信模式 X-Beacon-Id头字段检测 固定端口4443的通信监控 系统行为检测 : 启动文件夹快捷方式异常创建 命名管道异常通信 6.2 防护措施 应用白名单 :限制PowerShell执行权限 内存保护 :监控异常内存分配行为 网络监控 :深度检测加密流量模式 端点检测 :实时监控进程创建行为 七、框架演进趋势 该框架采用持续演变的威胁模型,通过模块化设计支持功能扩展,攻击者可根据目标环境特点定制攻击链,具备较强的适应性和隐蔽性。 注 :本文档仅用于安全研究和技术防御目的,严禁用于非法活动。所有技术信息应遵循《中华人民共和国网络安全法》相关规定。