文章总结： 研究披露PaloAltoNetworks的CortexXDRLiveTerminal功能存在安全缺陷，攻击者可滥用其作为隐蔽的C2通信通道。由于该功能在受信任的EDR代理中运行，其流量常被企业安全工具放行，攻击者可通过拦截WebSocket消息重定向端点连接至恶意服务器，或利用跨租户攻击获取控制权。该漏洞允许攻击者在无需部署额外恶意软件的情况下维持持久隐蔽控制，且网络流量混杂于正常代理流量中难以检测。建议安全团队监控异常进程创建事件，厂商需在协议层面实现相互认证与命令签名以彻底修复。 综合评分： 85 文章分类： 漏洞分析,终端安全,安全运营,红队,威胁情报

黑客可滥用 Cortex XDR Live Terminal 功能进行 C2 通信

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月26日 08:09 北京

最新披露的研究结果显示，Palo Alto Networks 的 Cortex XDR Live Terminal 功能可以被攻击者变成命令与控制 (C2) 通道。

由于此功能在受信任的端点检测和响应 (EDR) 代理中运行，因此它产生的流量很大程度上被企业安全工具接受，这使得它成为一种隐蔽且难以检测的滥用方法。

Cortex XDR 的实时终端是一项合法的远程管理功能，它允许安全团队从中央控制台执行命令、运行 PowerShell 和 Python 脚本、浏览文件以及管理端点上的进程。

该功能通过 WebSocket 连接与 Palo Alto 的云基础设施进行通信。

研究人员发现，该功能所依赖的协议没有命令签名，这意味着没有检查来验证指令是否真的来自合法的管理员。

任何拦截到初始 WebSocket 消息的攻击者都可以将端点连接重定向到他们控制的服务器。

InfoGuard Labs 的研究人员发现，由于 cortex-xdr-payload.exe Live Terminal 的客户端组件已经受到 EDR 引擎的信任，因此通过此通道执行的命令可以绕过传统的检测和预防规则。

这使得它成为一种强大的“利用系统资源”攻击手段，攻击者无需植入新的恶意软件，而是利用系统中已有的工具。该研究概述了两种滥用此特性的方法。

第一种方法是跨租户攻击，攻击者使用自己的 Cortex 租户生成有效的会话令牌，然后将受害者的端点重定向回攻击者控制的租户。

第二种方法是创建一个自定义服务器来复制WebSocket 通信协议，根据捕获的流量，这几乎不需要任何开发工作。

对于任何运行 Cortex XDR 的企业而言，这都影响严重。一旦攻击者获得初始访问权限，他们就可以利用这种技术，在不部署任何额外工具的情况下，对受感染的终端保持持久且隐蔽的控制。

该技术产生的网络流量与正常的 Cortex 代理流量混杂在一起，并且经常被排除在 TLS 检查之外，这使得攻击者可以发出命令、横向移动和收集文件，而不会产生太多噪声。

攻击者如何利用该功能

当启动实时终端会话时，Palo Alto 云会向 Cortex 代理发送 WebSocket 消息。

此消息包含命令行参数，指示代理程序使用特定的服务器和令牌值启动 cortex-xdr-payload.exe 。研究人员使用 PyInstaller 提取工具和 pylingual 反编译器对该可执行文件进行了反编译，发现它是一个 Python 3.12 应用程序。

在反编译后的代码中，发现服务器地址验证方式存在重大逻辑缺陷。

该函数 run_lrc_payload 检查服务器值是否以 结尾 .paloaltonetworks.com，但它是对完整的URL 字符串而不是仅对主机名进行此检查。

这意味着精心构造的 URL 可以 attacker.com/test.paloaltonetworks.com 通过检查并连接到攻击者拥有的服务器。

在跨租户攻击中，攻击者在 WebSocket 会话令牌到达自己的机器之前将其拦截，然后在受害者的端点上使用该令牌。

受害者的机器连接到攻击者的 Cortex 租户，通过官方 GUI 移交完整的 Live Terminal 访问权限。

值得注意的是，合法的父进程 cortex-xdr-payload.exe 是 cyserver.exe，任何偏离此进程的行为都应被视为可疑。

Palo Alto Networks 于 2025 年 9 月 30 日获悉这些发现，后来表示 8.7 至 8.9 版本包含修复程序。

2026 年 2 月 23 日，使用 8.9.1 版本及最新内容更新进行的测试表明，滥用和主机绕过功能仍然完全有效，没有真正的修复措施。

cortex-xdr-payload.exe 安全团队应监控进程创建事件，并标记任何由除父进程之外的其他进程启动的 情况 cyserver.exe。

Palo Alto Networks 应该在 Live Terminal 协议中实现相互认证和加密命令签名。

仅依靠基于父进程规则的检测方法是不够的。该功能的架构需要从安全设计的角度进行重新设计，从而在协议层面杜绝此类滥用行为。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客可滥用 Cortex XDR Live Terminal 功能进行 C2 通信》