一款基于Go语言开发的命令与控制(C2)框架——Vshell,正在地下世界悄然扩大其影响力。这个工具最初在华语攻防安全社区内推广,如今正日益吸引着那些在寻找灵活、经济型商业工具替代方案的威胁行为者。它早已不是当初那个简单的远程访问工具(RAT),而是演变成了一个让全球企业防御者必须高度警惕的成熟威胁。
工具演进与市场定位
Vshell 最早在 2021 年出现,最初的定位是通过蚁剑(AntSword)Webshell 框架控制的轻量级 C2 平台。它的核心功能是管理被攻陷的 Windows 和 Linux 主机,并且特别强化了对网络横向移动这类入侵后活动的支持。
有趣的是,该工具的第三版直接打出了“觉得 Cobalt Strike 难用?试试 Vshell!”的标语。这个口号相当直白,目标很明确:就是要吸引那些认为像 Cobalt Strike 这类商业对抗模拟工具价格昂贵或者操作过于复杂的攻击者。
根据安全公司 Censys 分析师的持续扫描,互联网上已经暴露出不少 Vshell 的部署实例。其中一些控制面板配置了数百个连接的客户端代理。在一个被还原的面板中,甚至能看到 286 个活跃客户端同时在线。每一个客户端,都能作为流量隧道和横向移动的中继节点。
实际攻击活动中的应用
Vshell 的影响范围已经不再局限于零散的机会主义攻击者。仅在 2025 年,这个工具就出现在了多个有据可查的威胁行动中。
例如,“龙克隆行动”(Operation DRAGONCLONE)、归因于 UNC5174 组织的“雪光行动”(SNOWLIGHT campaign),以及 2025 年 8 月报告的某次钓鱼攻击行动。在这些行动里,Vshell 都扮演了主要的入侵后控制框架角色。
这种被不同威胁组织广泛采用的模式说明,Vshell 已经从边缘工具,发展成了威胁生态中一种被广泛信赖的成熟能力。
到第四版时,Vshell 引入了许可证控制、界面重构以及 nginx 流量伪装功能。自 2024 年后,该工具的更新似乎转入了私有化开发阶段。这很可能表明其运营者正在积极投入资源,以提升工具的持久性和规避检测的能力。Censys 的扫描数据显示,目前互联网上活跃的 Vshell 监听节点超过 850 个,这个数字充分说明了该框架在攻击者基础设施中的普及程度。
多协议C2架构特性
Vshell 区别于普通 RAT 的核心优势之一,在于它高度灵活的监听系统。通过其控制面板上标有“监听管理”中文的界面,操作者可以配置多种协议的入站连接处理器。
它支持的协议相当广泛,包括:TCP、KCP/UDP、WebSocket、DNS、DNS-over-HTTPS(DoH)、DNS-over-TLS(DoT),甚至还包括通过 S3 存储桶的对象存储系统(OSS)进行连接。
虽然其默认监听在 TCP 8084 端口,但基于 DNS 的通信信道让它在边界防御面前尤其难以被阻断。DoH 和 DoT 通道能将 C2 流量巧妙地混入加密的 DNS 查询中,而多数常规的网络监控工具默认并不会深入检查这类流量。
防御建议
对于防御方来说,需要重点关注所有对外暴露的基础设施(特别是 Web 服务器和防火墙),检查是否存在 Vshell 的部署迹象。网络团队需要加强对 DoH 和 DoT 流量的监控,留意其中的异常模式,因为这些加密通道正越来越多地被滥用于 C2 通信。
由于 Vshell 是基于 NPS 构建的,因此基于 NPS 流量的检测规则可能具有一定的适用性。安全团队应定期执行威胁狩猎查询,并对符合 Vshell 监听或通信模式的出站连接建立告警机制。
需要注意的是,新版本的 Vshell 控制面板采用了摘要认证机制,这减少了防御方之前可能依赖的一些可检测特征,使得识别它的难度正在不断增加。对于从事安全/渗透/逆向相关工作的安全人员而言,保持对这类新兴工具动态的追踪至关重要。更多关于基础设施安全和攻防对抗的讨论,欢迎到云栈社区交流。
参考来源:
Vshell Gains Traction Among Threat Actors as an Alternative to Cobalt Strike
https://cybersecuritynews.com/vshell-gains-traction-among-threat-actors/
发表于 11 小时前
|
查看: 2|
回复: 0
