研究人员发现了一次针对政府实体的新攻击，攻击者在此期间使用了一种名为浩劫（Havoc ）的新型 C2 框架。

尽管 C2 框架广泛可用，但 Havoc 作为一种先进的后开发框架脱颖而出，可以躲避最新版本的 Windows 11 Defender。

Zscaler 的研究人员指出，Havoc 是开源的，并且正在成为其付费同行Cobalt Strike 和 Brute Ratel 的替代品。 

• 跨平台框架利用睡眠混淆、间接系统调用和返回地址堆栈欺骗。 

• Havoc 是一种先进的后利用 C2 框架，甚至可以绕过最新版本的 Windows 11 Defender。

• 此外，由于它使用了多种复杂的规避技术，因此很难检测到。

• 它允许其操作员执行命令、管理有效载荷、操纵 Windows 令牌、执行下载额外的有效载荷和 ShellCode ，以及其他任务。

• ShellCode 加载程序会在受感染的系统上停用 Windows 事件跟踪 (ETW)，并加载没有 DOS 和 NT 标头的 Havoc 有效负载，所有这些都是为了避免检测。

• 一月份，一个未知的威胁组织对一个未公开的政府组织发动了浩劫。

• 此外，最近的一份报告发现该框架是通过有害的 npm 包 (Aabquerys) 分发的，该包通过。

威胁行为者不断努力地改进他们的 TTP，而使用不同的 C2 框架就是其中之一。

因此，研究人员建议实施主动网络安全解决方案，包括利用预装了高级情报源和丰富资源的威胁情报平台。

Havoc 处于早期发布状态。随着框架的成熟，可能会对 API/核心结构进行重大更改。

参考资料：

网络空间的 Havoc

Zscaler ThreatLabz 研究团队观察到一项针对政府组织的新活动，其中威胁行为者使用名为Havoc的新命令与控制 (C2) 框架。

虽然 C2 框架很多，但开源 Havoc 框架是一种先进的后开发命令和控制框架，由于实施了间接系统调用和睡眠混淆等高级规避技术，能够绕过最新和更新版本的 Windows 11 Defender。

下面的技术分析概述了最近发现的使用 Havoc 的针对政府组织的攻击活动，并揭示了威胁参与者如何在各种活动中利用它。

https://github.com/HavocFramework/Havoc

全文链接：

https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace#analysis