文章总结: Kongtuke组织利用ClickFix虚假验证码社工手段诱导用户执行恶意msiexec命令,通过白程序侧加载、窗口隐藏、沙箱逃逸、内存混淆及无监控API回调等高级对抗技术投放HavocC2远控载荷,并创建计划任务实现持久化驻留。建议封禁相关IOC、加强用户培训及部署内存行为检测能力。 综合评分: 95 文章分类: 威胁情报,恶意软件,社会工程学,红队,内网渗透
【威胁情报】Kongtuke组织利用ClickFix社工技术及高级规避手段投放Havoc C2载荷
TtTeam
2026年7月6日 08:52 海南
在小说阅读器读本章
去阅读
以下文章来源于威胁情报Z分析 ,作者Z
威胁情报Z分析 .
国际网络安全威胁情报,地缘政治事件分析。
情报摘要:安全研究人员监测到Kongtuke威胁组织发起新一轮定向攻击活动。该团伙依托浏览器端ClickFix虚假验证人机交互社工手段构建多阶段攻击执行链路,诱导用户执行恶意系统命令,最终投放搭载Havoc远控(C2)的恶意载荷。攻击者伪装正规软件安装包规避查杀,结合进程隐藏、沙箱逃逸、内存混淆、无监控API回调执行等多种高级对抗技术,隐蔽性、抗分析性极强,同时通过系统计划任务实现长期持久化驻留,危害终端设备安全。
一、攻击整体概况
本次攻击核心入口为ClickFix虚假验证码验证社工攻击,攻击者伪造浏览器验证场景,诱导用户通过系统运行窗口粘贴并执行恶意msiexec安装命令。整套攻击链路具备典型的Kongtuke团伙技术特征,最终落地载荷可关联至知名Havoc C2远控框架。
为规避用户警觉与安全设备检测,攻击者将恶意安装程序伪装为正规商用软件 SPSS WinWrap Basic IDE 27,以合法程序名义掩盖恶意文件与攻击行为,实现“明目张胆”的隐蔽部署,大幅降低终端用户与基础安全设备的甄别概率。
二、详细攻击技术链路与对抗手段
- 初始入侵:静默恶意安装部署
攻击者通过社工诱导方式,欺骗用户在Windows运行对话框中粘贴并执行msiexec.exe恶意命令。该命令通过自带静默参数(-Q)后台下载恶意MSI安装包,全程无弹窗、无交互,用户无法感知安装行为。
同时,攻击者通过设置系统参数ARPSYSTEMCOMPONENT=1,将恶意程序标记为系统组件,使其隐藏在Windows系统“添加或删除程序”列表中,规避用户人工排查与软件卸载类安全检测,实现恶意程序的隐秘落地。
- 代理侧加载:劫持正规程序依赖链
攻击采用合法白程序侧加载技术规避杀软拦截,依托具备官方数字签名的正规程序WinWrapIDE.exe作为宿主载体。该正常程序会默认加载自身标准运行时依赖库wwide9.dll。
攻击者恶意篡改wwide9.dll的导入表结构,劫持程序正常调用逻辑,使其主动加载恶意代理加载器DLL文件(FcHand.dll),并调用该恶意文件中的activateLogBlend导出函数,无需创建新进程,依托合法进程链路执行恶意代码,绕过进程监控机制。
- 窗口伪装:全程隐藏恶意进程窗口
恶意组件Packet.dll运行后会启动专属后台线程,循环执行1680次窗口隐藏操作。该线程持续监控系统桌面环境,精准匹配自身进程PID对应的所有程序窗口句柄,通过调用Windows原生API(ShowWindow)强制隐藏进程窗口。
该技术可彻底屏蔽恶意程序的所有前台展示界面,让恶意进程全程后台静默运行,受害者无法通过任务栏、桌面窗口感知攻击行为。
- 沙箱逃逸:延时对抗自动化分析机制
为对抗主流恶意代码自动化分析沙箱设备,恶意加载器FcHand.dll内置62秒强制休眠机制。主流安全沙箱的常规检测时长普遍短于该阈值,攻击者通过延时执行核心恶意逻辑,成功绕过沙箱动态行为检测,待沙箱检测周期结束后,再启动系统指纹采集、载荷解密等核心攻击流程。
- 内存偏移混淆:规避启发式内存扫描
恶意程序Devart.Data.Linq.dll调用Windows原生VirtualAlloc接口,主动申请4MB大小的内存缓冲区。为规避针对内存基地址、内存特征的启发式扫描设备,加载器通过BCryptGenRandom加密接口,用高熵随机数据完全填充整块内存缓冲区。
同时,攻击者采用精准偏移写入策略,将解密后的Shellcode载荷固定写入缓冲区17065字节偏移位置,彻底破坏常规内存检测的特征匹配规则,规避内存查杀。
- 无监控回调执行:规避进程注入检测
本次攻击摒弃了CreateRemoteThread等被安全设备重点监控的进程注入API,规避高频告警风险。攻击者采用系统原生小众API回调转发技术,将解密后的Shellcode偏移指针作为自定义回调参数,传递给Windows本地化原生接口EnumTimeFormatsEx,通过合法系统API的回调逻辑间接执行恶意代码,攻击行为完全贴合正常系统运行特征,极难溯源检测。
- 自定义加密:混淆API与字符串特征
恶意Shellcode采用双重自定义加密混淆机制,规避静态特征检测与动态行为分析。一方面,基于改良64位FNV-1a哈希算法,结合逆运算与循环索引机制,对7大核心系统DLL文件的动态API地址进行隐匿解析,避免硬编码API特征被识别;另一方面,通过线性同余生成器(LCG)加密算法混淆程序内部所有核心字符串,彻底消除恶意代码静态特征。
- PowerShell隐蔽执行:绕过命令行审计
载荷执行后,会启动隐蔽化PowerShell进程,通过修改控制台文本编码的无害伪装命令创建进程,规避进程启动告警。同时,攻击者篡改进程标准输入(stdin)通道,将恶意脚本直接注入PowerShell进程内存缓冲区执行。
该方式不会在系统命令行日志中留存恶意脚本痕迹,成功绕过操作系统命令行审计机制,平稳启动下一阶段攻击载荷。
- 持久化驻留:高权限容错计划任务
攻击者通过创建名为IBM SPSS WinWrap Basic IDE 27的Windows系统计划任务,实现恶意程序长期驻留。该计划任务配置具备极强的隐蔽性与抗清除性:用户登录后3秒自动触发执行,采用最低权限运行以绕过用户账户控制(UAC)弹窗拦截;设置无限执行超时机制,保障持续运行;同时通过自定义SDDL安全描述符,向所有用户开放完全控制权限,规避管理员权限封禁、手动清除等防御操作。
三、攻击关键配置与载荷特征
-
研究人员成功从解密的初始阶段Shellcode头部,直接提取出本次Havoc C2远控的完整网络通信配置信息,可用于精准溯源与拦截阻断。
-
恶意载荷运行存在强依赖关系,需调用落地至本地磁盘的16.5MB高熵独立容器文件,该文件为恶意程序正常执行的必要条件。
四、威胁指标(IOCs)
- 网络威胁指标
-
恶意载荷分发服务器域名:hardware-id-cloud[.]us[.]com
-
恶意MSI安装包完整下载链接:hxxp[:]//hardware-id-cloud[.]us[.]com/—To-Complete-Verification—PRESS-ENTER-or-OK%20-Q
-
Havoc C2远控服务器地址:awsnetstat[.]com/45.227.255[.]75
- 主机威胁指标(SHA256哈希)
-
wwide9.dll(被劫持的正规依赖库,用于加载恶意代理程序):780df6caac0227c3a8c0e70417aa38cddc50e0aed61c76cc836f306809767894
-
FcHand.dll(恶意代理加载器,含62秒沙箱逃逸延时逻辑):c4cb401430c921daf604d4ff767a698431955eeae580e8bb28f287bd6384aa2d
-
Packet.dll(进程窗口隐藏恶意组件,实现后台静默运行):b99db956f479e0390d83da3279ef1bb93a80db0eaf2b284491570dd8157684df
-
Devart.Data.Linq.dll(内存混淆、系统指纹采集、API回调执行核心组件):cc1023616fba7fc7585ae7872f6a6b77a84a8a461e585b95f01f9de2b703b433
五、防御建议
-
终端用户安全培训:警惕浏览器虚假验证码、设备验证等社工弹窗,严禁随意复制、粘贴未知命令至系统运行窗口,杜绝非正规渠道软件安装操作。
-
网络边界防护:封禁上述恶意域名、C2服务器IP地址,拦截相关恶意载荷下载请求,阻断攻击分发与远控通信链路。
-
终端安全检测:针对本次曝光的恶意DLL文件哈希值、计划任务名称进行全网终端巡检,排查已感染设备,及时清除恶意程序。
-
策略加固:严格管控系统计划任务创建权限,禁止低权限用户创建开机自启、无限驻留的计划任务,关闭可疑程序的全域完全控制权限。
-
进阶防护:部署具备内存行为检测、沙箱动态对抗识别、无文件攻击检测能力的终端安全设备,针对小众系统API回调执行、内存高熵混淆等高级对抗行为进行专项拦截。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:TtTeam 《【威胁情报】Kongtuke组织利用ClickFix社工技术及高级规避手段投放Havoc C2载荷》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论