關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2025.12.23
事件與威脅/資訊安全
駭客濫用熱門監控工具哪吒作為隱藏木馬
威脅概況與背景分析

網路安全公司 Ontinue 的研究人員發現,一款名為哪吒 (Nezha) 的開源工具正被駭客改造為遠端存取木馬 (RAT)。這使得外部人員能夠潛入系統並長期駐留而不被發現。Nezha 最初是為 IT 社群設計的實用工具,能夠顯示伺服器的記憶體使用情況以及運行是否流暢,被網站所有者用來檢查伺服器健康狀況用來。

這類「生活化」(Living-off-the-land)的攻擊手法,標誌著現代駭客不再單純依賴編寫複雜的惡意代碼,而是轉向濫用功能強大的合法工具。這種策略極大地降低了開發成本,同時提高了攻擊的隱蔽性。

 

合法性掩護下的零檢測風險

由於它是數千名專業人士使用的合法軟體,安全應用程式通常會忽略它。據研究人員稱,該軟體在 VirusTotal 掃描器上顯示「0/72 檢測結果」。簡而言之,它實際上並非惡意軟體;它只是一個被駭客利用的普通工具

這種「零檢測」現象對企業的端點防護系統(EDR)構成巨大挑戰。傳統的基於特徵碼(Signature-based)的檢測機制無法識別哪吒為惡意程序,因為其二進位檔案本身具有合法的數位足跡與開源社群的背書。

 

哪吒木馬的技術優勢與即時危害

哪吒之所以特別危險,是因為它「開箱即用,功能齊全」。與許多需要複雜設定的駭客工具不同,哪吒安裝後即可立即使用,攻擊者「無需編譯自訂有效載荷」或將多個工具連接起來即可達到目的。

此外,哪吒擁有一個與生俱來的優勢:它的網路流量看起來完全正常,該工具使用標準的網路協定進行通信,這些協定“類似於正常的監控遙測數據”,而不是明顯的駭客訊號。這種高度偽裝的流量特徵,使得入侵檢測系統(IDS)難以從海量的數據中心流量中辨識出異常的指令傳輸。

 

東亞地區攻擊趨勢與地緣特徵

在2025年10月,另一家公司 Huntress 就發現類似的攻擊事件,目標遍及東亞地區,包括日本和韓國。在最近的這起案件中,Ontinue 的團隊注意到,駭客使用了包含簡體中文訊息的腳本,這表明攻擊者可能是母語為中文的人。他們還發現,駭客的指揮中心託管在日本的阿里雲服務上。

這顯示該威脅不僅是技術性的,還具備明顯的區域針對性。攻擊者利用跨國雲端基礎設施來掩蓋其原始位置,並利用地緣政治或文化相似性在東亞網路生態中進行滲透。

 

企業資安防禦建議與主動威脅獵捕

為確保安全,專家建議企業應主動在其係統中尋找哪吒。如果哪吒未經 IT 部門正式批准,其存在就是一個重大警訊。企業不應僅依賴自動化工具的「安全」報告,而應採取以下防禦深度策略:

建立應用程式白名單制度 限制伺服器上允許運行的監控工具清單。即使是開源且知名的工具,若非運維團隊核准使用,應立即阻斷並進行調查。

網路行為基線分析 監控所有向外連接的監控協定流量。若發現伺服器與未知的雲端服務商(如特定區域的阿里雲節點)進行異常頻繁的遙測數據交換,應視為潛在的 C2(指揮與控制)通信。

強化權限管理與稽核 哪吒的部署通常需要較高權限。透過嚴格的最小權限原則(PoLP),限制普通用戶或服務帳戶執行腳本的能力,可以有效阻止木馬的自動化安裝。

 

結論

「哪吒」事件再次提醒資安從業人員,最強大的威脅往往隱藏在最平凡的工具之中。面對日益嚴峻的供應鏈與開源工具濫用風險,企業必須轉向「零信任」架構,對系統內部的每一項工具進行嚴格的身分與用途驗證。


註:

根據這篇報導,以下是檢查系統是否安裝並被濫用 Nezha Agent 的建議步驟及重點:

a)    查找是否存在 Nezha 代理程式

Windows

  • 檢查服務列表中的 nezha 服務或可疑商業命名(如 live.exe、SQLlite.exe)。
  • 探索常見安裝路徑:C:\nezha\nezha-agent.exe 或 C:\Windows\Cursors\live.exe。
  • 檢查是否使用 NSSM(Non-Sucking Service Manager)安裝的服務:nssm list,特別留意名為 nezha 的服務。

Linux / macOS

  • 搜尋常見安裝目錄 /opt/nezha/agent/nezha-agent 或透過 systemd 守護進程啟動項檢查(systemctl status nezha-agent)。
  • 查看是否有以 ./nezha-agent 或 nezha-agent 名稱運行的進程。

b)    檢查配置文件及 C2 連線

  • 搜尋 config.yml 或安裝腳本中的 C2 server、Token 或 Dashboard 地址(如 c.mid.al, gd.bj2.xyz 等)。
  • 實時監控公開端口(預設 gRPC/http):確認是否有異常流量與不明監控域名(如非公司官方 domain)進行連線。

c)    網路與行為偵測

  • 分析出站網路流量:確認有無可疑連線至陌生 IP/域名,尤其在 5555 或 8008 等預設 port 上使用 HTTP/gRPC 流量。
  • 使用 EDR/IDS 或 SIEM 平台:參考 SOC Prime 提供的 Nezha 探勘規則和 MITRE 評估策略,即可偵測已有的惡意活動行為。

資料來源:https://hackread.com/hackers-abuse-monitoring-tool-nezha-trojan/
 
探討開源工具「哪吒」如何從合法伺服器監控軟體演變成駭客手中的遠端存取木馬。分析其在 VirusTotal 零檢測的原因、技術優勢及針對東亞地區的攻擊趨勢,並提供企業防禦策略。