来源: https://x.com/amiaoapp/status/2059064457717026886
隧道藏暗控-Cloudflare 合法工具被黑产用于远程控制
近期,火绒威胁情报中心监测到一类新型远控威胁攻击手段。该攻击与传统远控木马存在明显差异,可实现攻击链路全面“洗白”:该样本在攻击过程中综合使用了安装包伪装为WPS安装包进行投递、Inno Setup 多阶段解包、合法组件白利用、DLL 动态加载、服务与计划任务双重持久化以及隧道映射等多种技术手段。
首先,该恶意样本主要通过伪装成WPS Office官方安装包进行传播,攻击者通常会通过钓鱼邮件、恶意下载站、社交软件等渠道投放带有恶意代码的 WPS 安装程序。样本运行后会先启动正版 WPS 的安装流程,在用户正常安装软件的过程中静默执行恶意操作,极大降低了用户的警惕性。
随后,样本借助 Inno Setup 安装链分阶段释放 cloudflared_installer.tmp、CoreLogic.dll、cf.msi、Guard.dll、Windows.exe 等核心文件,并通过静默方式安装 cloudflared 合法组件,实现白利用免杀。
完成文件落地后,样本通过 LoadLibraryW 与 GetProcAddress 显式调用 CoreLogic.dll!ExecuteSecureInstall,进一步创建服务和计划任务,形成稳定的持久化机制。
其中,服务命令行会拼接 access tcp --url tcp://127.0.0.1:443 --hostname … 等参数,以借助 cloudflared 建立远程 TCP 隧道;计划任务则分别通过 rundll32.exe Guard.dll,TyCV85iu 和 WindowsEvent.exe 完成组件拉起、守护执行与失败重试。
综合来看,该样本通过将合法工具、系统组件和安装框架混合使用,显著增强了攻击链的隐蔽性、免杀能力和持续控制能力。
