NightshadeC2：新型僵尸网络利用“UAC弹窗轰炸”绕过Windows Defender

混淆既是艺术

近日，eSentire威胁响应单元（TRU）发现了一个名为NightshadeC2的新型僵尸网络家族。该恶意软件通过加载器部署，融合社会工程学、windows Defender排除机制及复杂规避策略，其最显著特征是采用TRU称为“UAC弹窗轰炸”的技术，强迫用户妥协并绕过沙箱环境。

TRU指出：“NightshadeC2的加载器使用一种简单却高效的技术，既能绕过恶意软件分析沙箱，又能通过‘UAC弹窗轰炸’将最终载荷排除在Windows Defender检测范围外。”

NightshadeC2的操作者正利用ClickFix攻击——向受害者展示伪造的验证码（CAPTCHA），并诱导其在Windows“运行”对话框中执行恶意命令。TRU还观察到，感染通过植入恶意代码的合法软件版本传播，例如Advanced ip Scanner、Express VPN、CCleaner和Everything。

第二阶段的PowerShell脚本会解密一个**.NET加载器**，该加载器在最终有效载荷接触磁盘之前，就尝试在Windows Defender中为其添加排除项。如果PowerShell命令失败，加载器会循环重试，从而产生大量UAC弹窗，受害者为恢复系统可用性最终不得不接受。

TRU解释道：“如果PowerShell进程返回非0的退出代码，while循环将继续执行，这实际上迫使用户批准用户账户控制（UAC）提示，否则将面临系统可用性问题。”

这种策略还会困住禁用了Windows Defender的恶意软件沙箱，使其产生非零退出代码并阻止有效载荷交付。TRU证实该方法可绕过多种沙箱产品，包括Joe Sandbox、CAPEv2、Hatching Triage和Any.Run。

NightshadeC2的C语言变体通过TCP端口7777、33336、33337和443进行通信，而Python变体则使用端口80。其核心功能包括：

• 通过命令提示符/PowerShell实现反向shell
• 下载并执行DLL或EXE文件
• 屏幕捕获和隐藏浏览器启动
• 通过模拟键盘/鼠标输入进行远程控制
• 键盘记录和剪贴板捕获
• 从基于Chromium和Gecko的浏览器中窃取凭证
  

TRU指出，Python变体的功能有所缩减（仅限于反向shell、下载/执行和自我删除），但由于杀毒软件对其覆盖较少，可能更难被检测到。

该恶意软件通过多个注册表项（Winlogon、RunOnce和Active Setup） 实现持久化。激活后，它会通过收集外部IP、操作系统版本、MachineGuid、用户名和域来识别受害者指纹。

捕获的击键和剪贴板数据被记录到隐藏文件中，文件名取决于权限级别。在一个案例中，高权限系统使用%LOCALAPPDATA%\JohniiDepp，而非高权限系统则使用%LOCALAPPDATA%\LuchiiSvet（俄语中意为“RaysLight”）。

部分变体通过Steam个人资料元数据获取其命令与控制（C2）服务器，使攻击者能够动态轮换基础设施。TRU观察到一个样本使用Steam社区URL解析至programsbookss[.]com。

C2协议以RC4加密握手开始，然后传输受害者指纹并接收命令，例如文件上传、下载、反向shell和远程桌面操作。

除了UAC弹窗轰炸外，TRU还发现了两种UAC绕过方法：

• 2019年发现的RPC服务器滥用技术，用于权限提升。
• 基于加载器的绕过方法，可检测版本早于Windows 11的操作系统，通过启动LOLBin进程来获取提升的权限，并无需重复提示即可添加Defender排除项。
  

TRU警告：“这种方法一个特别值得注意的方面是，禁用了WinDefend（Windows Defender）服务的系统将生成非零退出代码，导致恶意软件分析沙箱陷入执行循环。”

各组织应警惕ClickFix式诱饵，仔细检查植入恶意代码的软件来源，并监控可疑的UAC提示和Defender排除项变更。