导语:2026年3,安全研究人员在俄罗斯防弹主机服务商Proton66上发现了一个暴露的开放目录,其中包含完整的TheGentlemen勒索软件入侵工具包。该发现的意义不仅在于其中的工具,更在于这些工具已被使用过的证据——Mimikatz输出日志中包含真实的受害者凭证。
一、发现概述
2026年3月,Hunt.io的研究人员在俄罗斯一家名为Proton66的防弹主机(它指的是**“无视投诉的”或“高抗投诉的”**主机)服务商上发现了一个暴露的开放目录。此前的调查基于CyberXTron关于TheGentlemen勒索软件组织的报告中公布的入侵指标。
TheGentlemen(或简称为 Gentlemen)是一个在 2025 年年中迅速崛起的勒索软件组织,采用 勒索软件即服务 (RaaS) 模式运营。
根据最新的情报分析(截至 2026 年 4 月),该组织具有极高的攻击频率,并已成为全球最活跃的勒索软件威胁之一。
位于176.120.22[.]127:80的服务器并非杂乱无章的恶意软件样本库,而是一个结构化且维护完善的勒索软件入侵工具包,涵盖了勒索软件入侵的多个阶段,并且完全处于开放状态。
# 来源:Hunt.io
关键观察结果
-
俄罗斯防弹主机提供商Proton66 OOO托管在176.120.22[.]127:80上的开放目录暴露了126个文件(140 MB),包含完整的勒索软件操作员工具包,归因于TheGentlemen RaaS的关联公司。
-
目录中的Mimikatz输出日志包含收集到的NTLM哈希值和受害者用户名,证实这些工具已积极用于针对真实目标。
-
该工具包对应21项MITRE ATT&CK技术,涵盖整个入侵生命周期:侦察、权限提升、防御规避、凭证窃取、横向移动、持久化和加密前准备。
-
一个35 KB的批处理脚本(z1.bat)可作为勒索软件部署前的单次执行武器,结合了对12家安全厂商的安全产品进行销毁。
-
两个ngrok身份验证令牌以明文形式暴露,为跟踪其他运营商基础设施提供了潜在的切入点。
-
Proton66此前曾与SuperBlack勒索软件、WeaXor和XWorm活动有关联,这强化了支持活跃勒索软件即服务运营的基础设施模式。
二、开放目录详情
进入该目录后,发现共有18个子目录,包含126个文件,总大小约140 MB。该服务器注册于Proton66 OOO,最后一次观察到其处于活动状态是在2026年2月26日。
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
该目录并非随意转储的文件,而是一个精心构建的操作工具包:子目录按功能分组,包含多个工具变体以实现冗余,更重要的是,还包含先前凭证窃取操作的输出日志。
# 来源:Hunt.io
目录结构
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
# 来源:Hunt.io
三、侦察与发现
该工具包包含用于网络映射和主机枚举的专用工具,这是操作员获得对目标环境的初始访问权限后必不可少的第一步。
SoftPerfect Network Scanner
该目录包含netscan.exe及其许可证文件(netscan.lic)、预置配置文件(netscan.xml,119 KB,表明已自定义扫描配置文件)以及OUI查找表(oui.txt,1 MB)。SoftPerfect Network Scanner是一款合法的商业网络发现工具,可快速扫描IP地址范围、开放端口、共享资源、SNMP服务和活动目录结构。
包含许可证文件具有重要的操作意义:这表明运营商已获得完整的商业许可证,从而避免了试用版限制、水印和功能限制等可能妨碍在时间紧迫的入侵检测行动中进行扫描的因素。
路由打印
这是一个仅包含路由打印功能的极简18字节命令脚本,用于枚举受感染主机上的Windows路由表。虽然简单,但此输出会显示可用的网络段、网关、接口指标和VPN隧道,从而为操作人员提供规划横向移动路径所需的网络拓扑结构。
PC Hunter
该目录包含四个版本的PC Hunter,PC Hunter是一款内核级系统检查工具,最初设计用于检测rootkit:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在攻击行动中,PC Hunter能够深入洞察正在运行的进程、内核模块、注册表钩子、驱动程序对象、网络连接和启动项。它使操作人员能够在内核级别识别安全产品,并了解必须绕过或终止哪些保护机制。
四、权限提升
该目录包含多个版本的PowerRun:PowerRun子目录中包含一个32位版本(783 KB,带有2个恶意软件标记)和一个64位版本,根目录下还有一个更新的64位版本(946 KB,带有4个恶意软件标记)。
PowerRun允许以TrustedInstaller权限执行进程,这是Windows系统上的最高权限级别,甚至超过了SYSTEM级别的访问权限。CyberXTron的报告明确指出PowerRun.exe是TheGentlemen行动者用来劫持执行流程并以提升权限运行进程的工具。
PowerTool
多个版本中都包含额外的内核级实用程序:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
PowerTool提供的进程操控功能与PC Hunter类似,但它还具备终止受保护进程、卸载驱动程序和操控内核对象的额外功能。
五、防御规避
规避防御是该工具包中最重要的环节,包含六个功能重叠的工具和脚本,旨在系统性地禁用安全控制。这种冗余设计体现了操作的成熟度。
dControl.exe:Defender Control v2.1
dControl是Sordum的Defender Control实用程序,存在于两个位置(根目录和MIMIMI子目录,均为458 KB)。随附的dControl.ini文件显示了预配置的操作设置,包括TamperVersion=1(处理Windows防篡改保护)和BlockMpcmdrun=1(阻止Defender的命令行扫描程序)。
颗粒防御者操控
这款2 MB的实用程序可对Windows Defender配置进行精细控制,包括攻击面缩减(ASR)规则、排除路径、云保护级别和各项保护功能。
混合批处理/PowerShell Defender Kill
这个11 KB的脚本是该工具包中技术最先进的防御规避工具。它基于AveYo的”Toggle Defender”工具,并针对攻击用途进行了修改。
权限提升链:该脚本会检查四个层级的当前权限级别,通过多阶段链式操作提升权限。在提升权限的管理员层级,脚本会使用DefineDynamicAssembly和DefineDynamicModule在运行时动态构造.NET类型,然后使用窃取的TrustedInstaller令牌句柄调用kernel32!CreateProcess。
基于注册表的防御者销毁
这是一个4 KB的批处理脚本,采用基于注册表的全面方法来禁用所有Defender组件。它直接通过reg add命令修改注册表值,禁用保护功能、Defender日志记录、计划的Defender任务,并添加驱动器范围的排除路径。
有针对性的AV和服务杀手
一个6 KB的批处理脚本,会系统性地删除并终止十几个安全厂商、数据库引擎和备份解决方案的服务。目标包括:
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
语言特征分析:该脚本的注释中存在大量拼写错误,例如将”Delete Service”拼写为”Delite Service”,将”Sophos”拼写为”Sofos”。这些错误表明攻击者可能并非以英语为母语。
Defender排除路径管理器
这是一个770 KB的实用程序,用于以编程方式管理Windows Defender的排除路径。这提供了一种比完全关闭Defender更隐蔽的替代方案。
六、凭证访问
MIMIMI目录包含整个开放目录中最具操作意义的工件。此阶段标志着从环境准备阶段过渡到针对受害者凭证的主动情报收集阶段。
Mimikatz和操作日志
MIMIMI目录包含Mimikatz二进制基础架构(x32、x64和passrecpk子目录),以及一个结构化的!logs子文件夹,其中包含先前凭据收集操作的输出文件:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
# 来源:Hunt.io
WDigest凭据预备
一个注册表文件,用于启用WDigest明文凭据存储,这是Mimikatz从LSASS内存中提取明文密码之前必须执行的关键准备步骤。UseLogonCredential=1设置指示Windows将明文凭据存储在LSASS内存中。
七、持久性和远程访问
该工具包包含多个独立的远程访问机制,即使发现并删除了单个工具,也能确保操作员保持对受损环境的访问权限。
NG1.bat / NG2.bat(Ngrok RDP隧道)
两个批处理脚本通过ngrok建立用于RDP访问的反向隧道,每个隧道都使用不同的身份验证令牌。Ngrok隧道技术会在受感染主机和ngrok基础设施之间建立一条出站连接,然后ngrok基础设施会提供一个外部可访问的RDP端点。这种方法完全绕过了入站防火墙规则。
使用两个独立的身份验证令牌在操作上意义重大:可能的解释包括操作冗余、两个不同的运营商使用各自的账户共享工具包,或令牌分配给不同的目标环境。
RustDesk
RustDesk(31 MB)是一款开源远程桌面应用程序,它提供了一个完全独立于ngrok/RDP基础架构的额外持久连接通道。这种分层远程访问方法体现了运营商对保持持久访问的重视。
rdp.exe
一个体积小巧的RDP实用程序,用于在受感染的网络内部建立横向移动连接。
八、加密前准备和支持工具
VmManagedSetup.exe
一个17 KB的可执行文件,对于一个可执行文件来说,如此小的文件大小令人瞩目。考虑到TheGentlemen已知的跨平台能力,这很可能是为了在加密之前侦察或准备虚拟化基础设施。
7-Zip
本软件包包含64位(2 MB)和32位(1 MB)两种版本的7-Zip压缩软件。压缩工具在勒索软件攻击中发挥双重作用:一是将窃取的数据压缩成文件以便外泄;二是部署到受感染主机时提取打包的有效载荷或工具包文件。
九、反侦查
clearlog.bat文件实现了一个三管齐下的证据销毁程序:
-
事件日志清除:通过wevtutil.exe el枚举所有Windows事件日志通道,然后遍历每个通道并清除其内容 -
回收站销毁:递归删除系统回收站内容 -
远程桌面历史记录清除:删除Terminal Server Client注册表项和Default.rdp连接文件
十、完整的勒索软件部署前脚本
z1.bat是整个目录中最重要的操作文件,这是一个35 KB的批处理文件,它将几乎所有加密前的步骤整合到单个执行中。该脚本分七个不同的阶段运行。
安全产品服务销毁
该脚本会系统地删除Hyper-V、AVG、Sophos、Firebird、SQL Server、Webroot、ESET、Kaspersky、Quick Heal、McAfee、Trend Micro、Panda和UniFi的服务。然后,它超越了z.bat的功能,不仅删除服务,还会停止并禁用每个目标服务。
企业服务终止
除安全产品之外,z1.bat还会系统性地停止和禁用30多个Microsoft Exchange服务、Oracle数据库、MySQL、多个Tomcat版本、IBM服务、Veeam备份基础架构、VMware Tools、TeamViewer、IIS和各种企业应用程序。
值得注意的是,其中包含的条目揭示了之前的受害者环境:Tomcat8_CLOUDERP、Tomcat8_DESARROLLO221(西班牙语意为”开发”)和SQLANYs_Sage_FAS_Fixed_Assets表明操作员在之前的项目中遇到过ERP系统、西班牙语开发环境和Sage会计软件。
创建网络共享以进行传播
关键的预加密部分会在每个可用的驱动器号上创建开放的SMB共享,并授予所有用户完全访问权限。这样一来,勒索软件就能通过SMB协议,从网络中任何受感染的主机遍历并加密所有可访问的驱动器。
可访问性后门和RDP启用
该脚本在四个Windows辅助功能应用程序中安装图像文件执行选项(IFEO)调试器重定向。这是经典的”粘滞键”攻击:在Windows登录界面按五次Shift键、点击”轻松使用”按钮或激活放大镜都会打开系统级命令提示符。
结合RDP配置更改,即使移除所有其他远程访问工具,也能提供持久的后门访问权限。
删除卷影副本和禁用Defender
VSS影子删除操作会清除所有恢复点,确保受害者无法从Windows备份快照中恢复加密文件。
十一、技术观察
冗余作为一种作战原则
该工具包包含六种单独禁用Windows Defender的方法:dControl.exe、ConfigureDefender.exe、WinDefGpo_Reg.ps1、def1.bat、z.bat以及z1.bat。这并非粗心或缺乏条理,而是操作员根据自身在各种具有不同安全配置的企业环境中积累的经验而精心设计的策略。
语言指纹识别
z.bat和z1.bat文件中始终存在”Delite”拼写错误,以及供应商名称拼写错误(例如Sophos拼写为”Sofos”),这表明攻击者可能并非以英语为母语。此外,z1.bat中包含来自西班牙语环境的服务名称,这表明攻击者可能在西班牙语地区遇到过受害者。
双重认证令牌
NG1.bat和NG2.bat中的两个ngrok令牌代表着可操作的情报。将这些令牌嵌入纯文本批处理文件而非从安全存储中检索,体现了操作便利性优先于安全性的做法。
无需定制恶意软件
此目录中的每个工具要么是合法的双用途实用程序(netscan、PowerRun、PC Hunter、ngrok、RustDesk、7-Zip、ConfigureDefender),要么是众所周知的攻击工具(Mimikatz、dControl)。其中不包含任何自定义零日漏洞、新型恶意软件或定制植入程序。
十二、MITRE ATT&CK地图
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
十三、入侵指标
网络指标
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
基于文件的指标
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
十四、防御布控
端点检测
-
监控PowerRun.exe的执行情况,或监控从非标准位置使用TrustedInstaller令牌权限运行的进程 -
对Windows Defender服务状态更改或HKLMSOFTWAREPoliciesMicrosoftWindows Defender下的Defender相关注册表修改发出警报 -
检测基于批处理的事件日志清除和批量服务终止模式 -
标记Mimikatz相关行为,包括LSASS内存访问 -
监控辅助功能二进制文件上的IFEO调试器修改 -
对WDigest UseLogonCredential注册表更改发出警报 -
检测批量创建网络共享
网络检测
-
阻止发往176.120.22[.]127及其关联的Proton66基础设施的出站连接 -
监控ngrok隧道建立情况 -
监控与SoftPerfect网络扫描器一致的内部扫描模式 -
对异常RDP会话发出警报
恢复预防检测
-
vssadmin.exe删除卷影副本执行情况发出警报 -
监控通过sc config模式批量禁用服务的行为 -
检测EnableLUA注册表值的修改
十五、结论
该开放目录证实,TheGentlemen的一个关联组织曾积极利用Proton66基础设施实施勒索软件攻击。Mimikatz凭证日志、暴露的ngrok令牌以及结构化的工具包组织都表明,该组织曾针对真实目标进行过实际攻击。
对于防御者而言,关键在于此目录中的几乎所有工具要么是合法的实用程序,要么是众所周知的攻击工具。检测依赖于对行为序列的监控:防御者篡改、凭证转储、VSS影子删除和批量服务终止。此处记录的操作失误,从暴露的测试服务器到明文身份验证令牌,正是主动威胁搜寻旨在捕获的错误类型。
暂无评论内容