Havoc：新兴的开源指挥控制框架

主要要点

Havoc 指挥 controla 框架在威胁行为者中日益受到欢迎，取代 Cobalt Strike 和 Brute Ratel。此框架具备各种模组，支持代码执行、进程管理和额外有效载荷下载。Havoc 采用了间接系统调用、返回地址堆栈伪造和睡眠混淆来避开 Microsoft Defender 的检测。研究人员观察到，Event Tracing for Windows 被一个 shellcode 加载器禁用，且最终的 Havoc Demon 有效载荷中未检查到 DOS 和 NT 标头。Havoc 被报导通过 Aabquerys typosquatting 模组进行分发，并具备典型的 RAT远程访问木马功能。

近期，开源指挥控制框架 Havoc 在威胁行为者中逐渐被广泛使用，越来越多的攻击者选择在后期利用该框架以取代以往的 Cobalt Strike 和 Brute Ratel。根据 BleepingComputer 的报导，Havoc 不仅拥有多种模组可以实现代码执行、进程管理与额外有效载荷下载，还使用了间接系统调用、返回地址堆栈伪造及睡眠混淆技术，以逃避 Windows 11 上 Microsoft Defender 的检测。

在 Zscaler ThreatLabz 的一份报告中，研究人员发现，其中一个攻击案例中，透过一个 shellcode 加载器禁用了 Event Tracing for Windows，而最终的 Havoc Demon 有效载荷中并未检测到 DOS 和 NT 标头。此外，ReversingLabs 之前报导表示，Havoc 是通过 Aabquerys typosquatting 模组进行分发的。ReversingLabs 的研究员 Lucija Valenti 指出：Demonbin 是一个具备典型 RAT远程访问木马功能的恶意代理，该代理是使用一个名为 Havoc 的开源后期利用命令控制框架生成的。它支持生成多种格式的恶意代理，包括 Windows PE 执行文件、PE DLL 以及 shellcode。

从这些细节来看，Havoc 框架展示了其强大的功能和灵活性，对于资安界的威胁不容忽视。

黑豹加速器