前所未見的新型後門程式以隱蔽通訊技術,針對台灣進行攻擊
新發現的後門程式 Msupedge 攻擊台灣地區大學,這個後門程式最顯著的特點是它使用隱匿的 DNS 流量與命令與控制伺服器通訊。雖然這種技術並非首見,但並不常見。
Msupedge分析
Msupedge 以動態連結函式庫(DLL)的形式出現,並被發現安裝在以下檔案路徑中:
●csidl_drive_fixed\xampp\wuplog.dll
●csidl_system\wbem\wmiclnt.dll
Msupedge 使用 DNS 隧道技術與 C&C 伺服器通訊。其DNS通道工具的代碼基於公開可用的 dnscat2 工具。它透過執行名稱解析來接收命令。 解析的主機名稱結構如下:
圖 1. 初始名稱解析的主機名稱。
圖 2. 傳送電腦名稱後使用的主機名稱。
錯誤通知包括以下項目的成功或失敗:
記憶體配置
接收命令的解壓縮
接收命令的執行
該後門程式還會將命令執行結果編碼為第五層域名並發送出去。
Msupedge 不僅透過 DNS 流量接收命令,還使用 C&C 伺服器 (ctl.msedeapi[.]net) 的解析 IP 位址作為命令。解析 IP 位址的第三個八位元組是一個 switch case。後門程式的行為將根據解析 IP 位址的第三個八位元組減去 7 的值而改變。 例如,如果第三個八位元組是 145,則轉換為 138(以十六進制表示為 0x8a)。
圖 3. 擷取解析的 IP 位址。
圖 4. 後門程式的行為根據解析 IP 位址的第三個八位元組減去 7 的值而改變。
Msupedge 支援以下命令:
Case 0x8a:建立處理程序。命令透過 DNS TXT 記錄接收。
Case 0x75:下載檔案。下載網址透過 DNS TXT 記錄接收。
Case 0x24:休眠 (ip_4 86400 1000 毫秒)。
Case 0x66:休眠 (ip_4 3600 1000 毫秒)。
Case 0x38:建立 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此檔案的用途尚不清楚。
Case 0x3c:移除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。
初始入侵可能是透過攻擊最近修補的 PHP 漏洞 (CVE-2024-4577) 進行的。該漏洞是一個 CGI 參數注入漏洞,影響安裝在 Windows 作業系統上的所有 PHP 版本。成功利用該漏洞可能導致遠端程式碼執行。5Symantec 已觀察到多個威脅行為者在最近幾週掃描易受攻擊的系統。迄今為止,我們尚未找到任何證據可以讓我們將此威脅歸咎於特定行為者,攻擊背後的動機仍然不明。
保護/緩解
如需最新的防護更新,請造訪 Symantec 防護公告。
威脅指標 (IOC)
如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。
e08dc1c3987d17451a3e86c04ed322a9424582e2f2cb6352c892b7e0645eda43 – Backdoor.Msupedge
f5937d38353ed431dc8a5eb32c119ab575114a10c24567f0c864cb2ef47f9f36 – Backdoor.Msupedge
a89ebe7d1af3513d146a831b6fa4a465c8edeafea5d7980eb5448a94a4e34480 – Web shell
原文出處 Symatnec Enterprise Blogs
Comments