報導摘要

網路安全領域近期出現一種新穎且令人擔憂的攻擊手法。資安研究人員發現，有不明駭客組織正在濫用一個名為「Velociraptor」的開源端點監控與數位鑑識工具，將其作為攻擊鏈中的一部分。這類攻擊的核心是「活在陸地」（Living off the Land，簡稱LotL），意指駭客利用系統內建或受信任的合法軟體來執行惡意活動。在此次事件中，駭客利用 Velociraptor 來部署 Visual Studio Code，藉此建立一個通往其指揮與控制（C2）伺服器的加密隧道，為後續的惡意行為鋪路。此舉顯示了駭客戰術的進化，他們不再僅依賴惡意軟體，而是開始將資安專業工具轉化為攻擊利器。這種攻擊模式對傳統的資安防護構成嚴峻挑戰，因為它模糊了合法行為與惡意行為之間的界限，使得偵測變得更加困難。

引言：合法工具的雙面性

在網路安全的世界裡，工具本身沒有好壞之分，其性質取決於使用者的意圖。一把手術刀可以拯救生命，也可以造成傷害；同樣地，一個強大的軟體工具既能成為捍衛企業安全的利器，也可能被惡意人士利用，轉而成為攻擊的武器。這種現象在「活在陸地」（LotL）的攻擊手法中表現得尤為明顯。駭客不再花時間開發自定義的惡意軟體，而是利用受害者系統中已經存在的合法工具，例如 PowerShell、PsExec 或遠端管理工具，來執行他們的惡意指令。這種策略讓他們能融入正常的網路活動，規避基於簽章或行為模式的傳統防毒軟體偵測。而近期發現的駭客濫用 Velociraptor 的案例，更是將這種「活在陸地」的攻擊推向一個新高度，因為他們利用的，不再是作業系統工具，而是專門為資安防護而設計的專業鑑識軟體。

Velociraptor 是什麼？

Velociraptor 是一個功能強大的開源端點監控、數位鑑識與事件回應平台。它專為資安專業人士設計，用於在企業的電腦和伺服器上快速收集和分析數位證據。其核心功能包括：

1. 威脅獵捕（Threat Hunting）： 允許資安分析師主動在整個網路中搜尋異常或惡意行為的跡象。
2. 事件回應（Incident Response）： 能在資安事件發生後，快速從受感染的設備上收集關鍵證據，以進行深度調查。
3. 自動化鑑識： 使用其獨特的查詢語言（VQL），能自動化複雜的鑑識任務，從而大幅縮短調查時間。
4. 即時監控： 能持續監控端點活動，包括進程執行、檔案變更和網路連線等，以便及時發現可疑行為。

簡而言之，Velociraptor 是一個幫助企業資安團隊主動防禦、快速回應和深入調查的利器。然而，正是其強大的功能，一旦落入惡意之手，便可能被反過來利用，成為一個隱蔽且高效的攻擊工具。

駭客如何濫用 Velociraptor

根據資安公司 Sophos 的報告，此次攻擊中的駭客組織並非自行開發新的惡意軟體，而是將 Velociraptor 作為他們攻擊鏈中的一個組成部分。他們的攻擊模式大致如下：

1. 滲透： 駭客首先透過某種方式（例如利用漏洞或竊取憑證）成功滲透到目標網路。
2. 部署 Velociraptor： 一旦取得初步立足點，駭客便會手動部署 Velociraptor。這本身是一個合法的行為，因為許多企業的資安團隊也會做同樣的事。然而，駭客部署的不是用於防禦的版本，而是經過配置用於惡意目的的版本。
3. 執行惡意任務： 駭客利用 Velociraptor 的強大功能，執行他們的惡意計畫。其中一個主要任務是下載並執行 Visual Studio Code。

攻擊鏈的詳細剖析

此次攻擊的精妙之處在於其多步驟、多層次的攻擊鏈。駭客的最終目標很可能是進行勒索軟體攻擊，而濫用 Velociraptor 只是他們建立持久性並規避偵測的第一步。

步驟一：利用合法軟體 msiexec 攻擊者並非直接下載惡意執行檔，而是利用 Windows 作業系統內建的 msiexec 工具。msiexec 用於安裝、配置和維護 Windows Installer 套件（.msi）。駭客利用此工具從一個位於 Cloudflare Workers 的惡意網域下載了一個 MSI 安裝包。這個步驟本身是合法的，因為許多軟體都會透過 msiexec 進行安裝，這讓傳統的防護工具難以將其標記為惡意行為。

步驟二：部署 Velociraptor 與 Visual Studio Code 下載的 MSI 安裝包包含 Velociraptor。一旦安裝並執行，駭客便能遠端控制它，並利用其功能下載更多工具。在此次事件中，他們下載了 Visual Studio Code（VS Code），這是一個廣受開發者歡迎的程式碼編輯器。

步驟三：建立加密隧道 這一步是攻擊的核心。駭客利用 Visual Studio Code 的遠端開發擴充功能，或類似的工具，來建立一個通往其指揮與控制（C2）伺服器的加密隧道。這個隧道的作用是讓駭客能在目標網路內自由活動，而其通訊流量則被偽裝成正常的 VS Code 流量，進一步躲避偵測。這種手法被稱為「隧道化」，是駭客用來規避網路邊界防禦的常用戰術。

步驟四：部署額外工具 一旦 C2 隧道建立成功，駭客便能透過這個安全的通道，從外部伺服器下載更多惡意工具，例如另一個遠端管理工具 Radmin 或 Cloudflare Tunnel。這些工具使駭客能更方便地遠端控制受害者設備，並在網路內橫向移動，尋找更高價值的目標，最終可能部署勒索軟體或進行資料竊取。

為什麼這種攻擊難以防範？

這種濫用合法工具的攻擊模式對企業資安團隊構成了嚴峻挑戰。主要原因如下：

1. 偵測困難： 傳統的防毒軟體和入侵偵測系統（IDS）主要依賴惡意軟體簽章和已知惡意行為模式進行偵測。然而，當駭客利用 Velociraptor 這樣的合法工具時，這些偵測機制可能因為其合法性而失效。
2. 模糊了界限： 駭客的活動看起來就像是一個資安分析師在執行正常的鑑識任務。這使得資安團隊難以區分是內部人員在進行事件回應，還是外部駭客在進行惡意活動。
3. 持久性： 由於駭客使用了合法工具並建立了隱蔽的 C2 隧道，他們的攻擊可以在受害者網路中長期潛伏而不被發現，為後續更嚴重的攻擊（如勒索軟體部署）提供充足的時間。

企業應如何應對與防範

面對這種進化中的威脅，企業必須從被動防禦轉向主動的威脅獵捕與行為監控。

1. 行為分析與異常偵測： 僅僅監控檔案簽章已不足夠。企業應部署進階的端點偵測與回應（EDR）解決方案，並利用行為分析來偵測異常行為。例如，一個從未被使用的合法工具突然在非工作時間運行，或一個鑑識工具嘗試與外部未經授權的 IP 位址通訊，這些都是值得深入調查的警訊。
2. 監控合法工具： 企業應對所有合法工具的使用情況進行嚴格監控。例如，如果 Velociraptor 僅由特定資安團隊在特定時間和設備上使用，那麼任何來自非授權來源的執行都應觸發警報。
3. 零信任架構： 實施零信任（Zero Trust）原則，即「永不信任，始終驗證」。即使是內部網路的流量，也應視為潛在的威脅，並進行嚴格的身份驗證和授權。
4. 建立強健的資安文化： 提高員工的資安意識，並確保所有資安團隊成員都能理解「活在陸地」攻擊的原理和危害，以便他們能更有效地進行威脅獵捕和事件回應。

結論與展望

駭客濫用 Velociraptor 的案例，是當今網路威脅環境的一個縮影。它清楚地表明，攻擊者正不斷進化其戰術，利用合法工具和技術來規避傳統防禦。這場攻防戰的未來，不再僅僅是新惡意軟體的軍備競賽，更是對人類智慧、策略和工具使用的較量。企業必須意識到，其防禦策略不能僅限於外部威脅，更應關注內部環境中合法工具的異常行為。只有通過主動的威脅獵捕、持續的行為監控和嚴格的存取控制，企業才能在這場日趨複雜的網路戰中，保護其寶貴的數位資產。

資料來源：https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html