Chào mọi người,

Dạo gần đây khi đang cấu hình các network lab project và hệ thống lại kiến thức chuẩn bị cho kỳ thi ISC2 CC, tôi đặc biệt chú ý đến sự trỗi dậy mạnh mẽ của Vshell C2 framework. Ban đầu nó chỉ được xem là một remote access trojan cơ bản, nhưng nay đã tiến hóa thành một mối đe dọa toàn cầu cực kỳ tinh vi.

Dưới đây là những phân tích chi tiết hơn về framework này để chúng ta cùng thảo luận:

1. Quá trình phát triển và mức độ phổ biến Được viết bằng Go và xuất hiện lần đầu vào năm 2021 trong cộng đồng an ninh mạng Trung Quốc, Vshell ban đầu hoạt động qua web shell AntSword. Tuy nhiên, nó đã nhanh chóng trở thành một giải pháp thay thế giá rẻ và linh hoạt cho các công cụ thương mại đắt đỏ như Cobalt Strike. Ở phiên bản thứ ba, những kẻ phát triển thậm chí còn nhắm thẳng vào tập người dùng Cobalt Strike bằng thông điệp quảng bá nhấn mạnh sự dễ sử dụng của Vshell.

Đến phiên bản 4, công cụ này đã được bổ sung kiểm soát cấp phép và khả năng mạo danh Nginx để trà trộn vào lưu lượng web hợp pháp. Các nhà phân tích của Censys đã phát hiện hơn 850 listener đang hoạt động ngoài Internet, trong đó có một bảng điều khiển kiểm soát đồng thời 286 client. Những client này có thể đóng vai trò như các relay để tạo đường hầm lưu lượng và thực hiện lateral movement trong các mạng đã bị xâm nhập.

1. Các chiến dịch tấn công thực tế Vshell không còn là công cụ nhỏ lẻ. Trong năm 2025, nó đã được sử dụng làm framework hậu xâm nhập chính trong nhiều cuộc tấn công lớn, tiêu biểu như chiến dịch Operation DRAGONCLONE, chiến dịch SNOWLIGHT của nhóm UNC5174, và nhiều chiến dịch phishing quy mô lớn khác.
2. Cơ chế hoạt động và kỹ thuật né tránh Điểm nguy hiểm nhất của Vshell nằm ở hệ thống listener cực kỳ linh hoạt. Mặc định nó sử dụng cổng TCP/8084, nhưng hệ thống quản lý tập trung cho phép cấu hình kết nối qua hàng loạt giao thức khác nhau như TCP, KCP/UDP, WebSocket, và thậm chí là Object Storage System qua các bucket S3.

Đặc biệt, khả năng sử dụng các kênh DNS, DNS-over-HTTPS và DNS-over-TLS khiến Vshell cực kỳ khó bị phát hiện tại vành đai mạng, vì lưu lượng C2 được mã hóa và ẩn giấu hoàn toàn trong các truy vấn DNS thông thường. Kiến trúc của nó rất giống với Cobalt Strike, bao gồm một teamserver trung tâm quản lý nhiều implant, nhưng được bổ sung xác thực digest để giảm thiểu các dấu vết nhận dạng.

1. Biện pháp phòng ngừa và phát hiện Để bảo vệ hệ thống, chúng ta cần triển khai giám sát chặt chẽ toàn bộ cơ sở hạ tầng hướng ra bên ngoài. Các đội ngũ bảo mật nên tập trung kiểm tra bất thường trong lưu lượng DNS-over-HTTPS và DNS-over-TLS. Đồng thời, việc thường xuyên thực hiện threat-hunting queries và thiết lập cảnh báo cho các kết nối đi ra khớp với mẫu listener của Vshell là vô cùng cấp thiết. Do Vshell được xây dựng dựa trên NPS, các quy tắc phát hiện lưu lượng NPS cũng có thể được tận dụng hiệu quả.

Mọi người nghĩ sao về các phương pháp phát hiện framework này? Hãy cùng chia sẻ thêm nhé!


​