對於初入行的工程師來說,傳統的惡意軟體通常會建立一個專用的伺服器來接收指令,這在資安監控中很容易被發現,因為對外連線到一個陌生且無名聲的 IP 位址會觸發警報。然而,近年來名為 Webworm 的威脅組織採取了一種更為狡猾的策略:將 C2 通訊偽裝成合法的雲端服務流量。
所謂的 C2 指的是 Command and Control,即指令與控制伺服器。它是駭客用來遠端操控受感染主機的控制中心。Webworm 組織在 2025 年推出的兩款新後門程式 EchoCreep 與 GraphWorm,核心邏輯就是利用現有的知名平台來傳遞指令,讓攻擊流量在監控系統中看起來像是正常的業務活動。
利用合法平台隱匿蹤跡的實務手法
EchoCreep 這款後門利用了 Discord 的 API。Discord 本質上是一個通訊軟體,其 API 允許程式化地發送與接收訊息。對於 Webworm 來說,他們只需將 Discord 頻道當作指令簿,後門程式定期讀取頻道內容來執行指令。由於大多數企業環境不會完全封鎖 Discord,且流量經過加密且目的地是合法域名,這使得偵測變得極其困難。
而 GraphWorm 則更進一步,利用了 Microsoft Graph API。這是微軟提供的一個統一閘道,允許開發者存取 Office 365、OneDrive 等雲端服務。GraphWorm 不僅能接收指令,還能利用 OneDrive 進行檔案的上傳與下載。這種做法將資料外洩(Data Exfiltration)的行為偽裝成正常的雲端同步,讓資安分析人員很難將其與員工正常的雲端操作區分開來。
從 RAT 到代理工具的演進
在早期的攻擊中,Webworm 傾向於使用 RAT(Remote Access Trojan,遠端存取木馬),例如 Trochilus 或 9002 RAT。RAT 的功能強大,但特徵明顯,容易被防毒軟體或端點偵測系統(EDR)攔截。
目前的趨勢是轉向使用更輕量化且隱蔽的代理工具(Proxy Tools),例如 SOCKS 代理。SOCKS 是一種網路傳輸協定,允許流量在不同主機間跳轉。Webworm 開發了一系列自定義代理工具,如 WormFrp 或 ChainWorm,支持多層級的跳轉(Chaining)。這意味著攻擊者可以讓流量在內部多台主機之間轉發,最後才接回 C2 伺服器,從而掩蓋真正的攻擊源頭。
配合 SoftEther VPN 的隱匿策略
為了進一步增加潛入的成功率,Webworm 經常部署 SoftEther VPN。這是一款開源的 VPN 軟體,被用來建立加密通道以繞過防火牆。此外,他們還利用 GitHub 建立偽裝成 WordPress 分支的儲存庫,將惡意工具存放於此。由於 GitHub 是開發者常用的合法平台,這種做法能有效降低被安全設備標記為惡意下載的機率。
攻擊路徑與初步滲透
雖然目前具體的初始進入路徑尚未完全揭露,但觀測發現 Webworm 習慣使用 dirsearch 與 nuclei 等開源工具。dirsearch 用於暴力掃描網頁伺服器的隱藏目錄,而 nuclei 則用於快速偵測已知的漏洞。這顯示出該組織傾向於尋找配置錯誤或未修補的 Web 伺服器作為突破口。
總結與實務啟示
Webworm 的案例告訴我們,現代攻擊者不再追求功能最全的工具,而是在追求最高程度的隱匿性。他們將攻擊行為嵌入到合法雲端服務(Discord, Microsoft Graph API, GitHub)之中,讓傳統基於黑名單或 IP 封鎖的防禦手段失效。
對於工程師而言,這意味著我們不能僅僅依賴對外連線的目標 IP 來判斷風險,而應該關注行為分析,例如:為什麼一台伺服器會突然頻繁地與 Discord API 通訊?或者為什麼 OneDrive 的流量在非工作時間異常增加?這種從行為特徵出發的監控,才是對抗此類隱匿後門的關鍵。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。