转载自戎码安。
Nighthawk C2 是一款类似于 Cobalt Strike 和 BRC4 的商业化红队工具。它因提供未发布或尚未武器化的尖端功能以及高昂的价格而广为人知,该工具框架提供了从初始访问、权限维持、横向移动直至目标达成的全链路能力支持。2025年1月,某交易论坛上出现了Nighthawk C2的泄露版本,随后该版本被部分用户购买并在网络中广泛传播。然而,购买者在 2 月公开发帖声称遭遇欺骗,指出该泄露版本存在明显功能缺失,无法正常使用。
经分析,该泄露版本存在显著的功能缺失,致使核心功能无法正常运行。网络中流传的截图仅展示了三端正常配置,但无法生成有效的 beacon,可能只是为了新版宣传而制作的营销材料。然而,在多个已公开的互联网版本中,我们发现了一个流传甚广的“后门版”样本,以下是对此样本的具体分析。
样本概述:此投毒样本中的关键样本为:C2_Client 文件夹中Client.exe:
操作系统: Windows(95)[I386, 32 位, GUI] 编译器: VB.NET 库: .NET(v4.0.30319) 链接程序: Microsoft Linker(11.0) 时间: 2025-02-01 08:55:15 动态分析 双击运行Client.exe后,会弹出一个看似正常的客户端界面。然而,通过进程管理器观察可以发现,实际运行的客户端文件是C2_Client.exe。进一步分析表明,Client.exe会先释放一个隐藏的C2_Client.exe并启动它。
值得注意的是,尽管C2_Client.exe是由Client.exe释放的,但其体积却比后者更大。我们对主程序简单进行一个静态分析。此程序是C#编写,在Main函数中Sleep 2秒之后调用WorkF;
接下来将通过List数组,来确定要写入的文件及目录名;
随后通过GetTheResource这个函数获取自身的资源文件,来释放所需要的Pe文件;GetTheResource函数调用了Decompress,这个函数通过解压缩的方式来读取资源文件,这正是释放出来的客户端程序体积更大的原因;
、
云端机器学习检测到恶意文件:
在启动正常客户端的同时,Client.exe会在"C:\ProgramData"目录下释放一个svchost.exe的隐藏的可执行文件并执行;
释放可疑命名的系统文件
不同寻常的程序路径
在虚假的svchost启动之后会在C:\Users\user\AppData\Local\Temp\3582-490\ 目录下写入一个svchost.exe文件,随后启动刚写入的虚假的svchost.exe;
云端机器学习检测到恶意文件
疑似伪装svchost进程
可疑的隐藏文件被执行
第二个svchost启动,这个svchost也是整个攻击阶段的主要行为部分,其首先会在"C:\Users\user\AppData\Roaming"目录下释放第三个svchost,这个svchost与当前的svchost是同一个程序,该svchost并没有发现被立刻调用。随后该进程会加载一段shellcode,并通过NtUserSetWindowsHookEx、NtUserGetClipboardData分别监听窗口回调、窃取剪切板内容;
加载恶意的shellcode
通过设置窗口回调监听输入
访问剪切板
进程树:
ATT&CK
AI研判】进程树显示client.exe启动svchost.exe,并进一步启动c2_client.exe。告警包括’ svchost加载shellcode ‘和’云端机器学习检测到恶意文件’,结合历史数据,判断为恶意行为。
转载戎码安。