2026-03-02 17:00:43 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Vshell是一款基于Go语言的C2框架，正逐渐取代CobaltStrike成为威胁行为者的首选工具。它支持多协议监听包括DNS-over-HTTPS和DNS-over-TLS，使其难以被防御方检测。关键发现包括在2025年多个攻击活动中被使用，如龙克隆行动。防御建议包括监控对外暴露的基础设施、检查加密DNS流量异常，并定期进行威胁狩猎。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全运营,红队,网络安全

cover_image

Vshell正取代Cobalt Strike成为威胁行为者首选C2工具

FreeBuf

2026年3月1日 18:04 上海

#

一款基于Go语言的命令控制（C2）框架Vshell正悄然扩大其影响力，该工具最初在华语攻防安全社区推广，如今日益受到寻求灵活、经济型商业工具替代方案的威胁行为体关注。这款工具已从早期的基础远程访问工具（RAT）发展成令全球企业防御者高度警惕的成熟威胁。

#

Part01

工具演进与市场定位

Vshell于2021年首次出现，最初定位为通过蚁剑（AntSword）Webshell框架控制的轻量级C2平台。其核心功能是管理被攻陷的Windows和Linux主机，特别强化了网络横向移动等入侵后活动支持。该工具第三版直接打出”觉得Cobalt Strike难用？试试Vshell！”的标语，明确瞄准那些认为商业对抗模拟工具价格昂贵或操作复杂的威胁行为体。

Censys分析师通过持续扫描发现，互联网暴露的Vshell部署实例中，部分控制面板配置了数百个连接的客户端Agent。其中一个被还原的面板显示有286个活跃客户端同时在线，每个客户端都能作为流量隧道和横向移动的中继节点。

Part02

实际攻击活动中的应用

Vshell的影响范围已不仅限于机会主义攻击者。2025年间，该工具出现在多个已记录的威胁行动中，包括”龙克隆行动”（Operation DRAGONCLONE）、归因于UNC5174组织的”雪光行动”（SNOWLIGHT campaign），以及2025年8月报告的某钓鱼攻击行动——在这些行动中Vshell均作为主要的入侵后控制框架。这种跨不同威胁组织的采用模式表明，Vshell已从边缘工具发展为威胁生态中广泛信赖的成熟能力。

到第四版时，Vshell引入了许可证控制、界面重构及nginx流量伪装功能。2024年后该工具疑似转入私有化开发，表明运营者正积极投入提升其持久性和规避能力。Censys通过扫描发现超过850个活跃的Vshell监听节点，这个数字充分体现了该框架在互联网基础设施中的广泛部署。

Part03

多协议C2架构特性

Vshell区别于普通RAT的核心优势在于其高度灵活的监听系统。通过标有”监听管理”中文界面的控制面板，操作者可配置多种协议的入站连接处理器。该工具支持TCP、KCP/UDP、WebSocket、DNS、DNS-over-HTTPS（DoH）、DNS-over-TLS（DoT）乃至通过S3存储桶的对象存储系统（OSS）连接。

虽然默认监听TCP/8084端口，但其基于DNS的通信信道使其在边界防御中尤其难以阻断——DoH和DoT通道将C2流量混入加密DNS查询，多数网络监控工具默认不会检查这类流量。

Part04

防御建议

防御方应重点监控所有对外暴露的基础设施（特别是Web服务器和防火墙）是否存在Vshell部署迹象。网络团队需要检查DoH和DoT流量中的异常，这些通道常被滥用于C2通信。由于Vshell基于NPS构建，基于NPS流量的检测规则可能适用。

安全团队应定期执行威胁狩猎查询，并对符合Vshell监听模式的出站通信建立告警机制。值得注意的是，新版Vshell面板采用摘要认证机制，减少了防御方原先依赖的可检测特征，使得识别难度随时间推移不断增加。

参考来源：

Vshell Gains Traction Among Threat Actors as an Alternative to Cobalt Strike

Vshell Gains Traction Among Threat Actors as an Alternative to Cobalt Strike

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Vshell正取代Cobalt Strike成为威胁行为者首选C2工具》