以前未曾见过的后门利用 DNS 流量与命令和控制服务器通信。 一种以前未见过的后门(Backdoor.Msupedge)利用一种不经常见到的技术被部署在对台湾一所大学的攻击中。
这个后门的最显著特征是它通过 DNS 流量与命令和控制(C&C)服务器通信。虽然这种技术是已知的,并且已经被多个威胁行为者使用,但这并不是经常见到的事情。
Msupedge 分析
Msupedge 是一个以动态链接库(DLL)形式存在的后门。已发现它安装在以下文件路径中:
-
csidl_drive_fixedxamppwuplog.dll -
csidl_systemwbemwmiclnt.dll
当 wuplog.dll 被 Apache(httpd.exe)加载时,wmiclnt.dll 的父进程是未知的。
Msupedge 使用 DNS 隧道与 C&C 服务器通信。DNS 隧道工具的代码基于公开可用的 dnscat2工具。它通过执行名称解析来接收命令。解析的主机名结构如下:
图 1. 初始名称解析的主机名。 |
图2. 计算机名发送后使用的主机名 |
错误通知包括以下内容的成功或失败:
-
内存分配 -
接收命令的解压缩 -
接收到的命令执行
后门还似乎将命令执行的结果编码为第五级域并发送。
Msupedge 不仅通过 DNS 流量接收命令,还使用 C&C 服务器的解析 IP 地址 (ctl.msedeapi[.]net) 作为命令。 解析 IP 地址的第三个八位是一个开关案例。 后门的行为将根据解析 IP 地址的第三个八位减去七的值而改变。 例如,如果第三个八位是 145,则这相当于 138 (以十六进制表示为 0x8a)。
图 3. 检索已解析的 IP 地址。 |
图 4. 后门的行为会根据解析的 IP 地址的第三个八位组减去七的值而改变。 |
Msupedge 支持以下命令:
-
案例 0x8a:创建进程。命令通过 DNS TXT 记录接收。 -
案例 0x75:下载文件。下载 URL 通过 DNS TXT 记录接收。 -
案例 0x24:睡眠(ip_4 * 86400 * 1000 毫秒)。 -
案例 0x66:睡眠(ip_4 * 3600 * 1000 毫秒)。 -
案例 0x38:创建 %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的目的未知。 -
案例 0x3c:删除 %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。
感染向量
初始入侵可能是通过最近修补的 PHP 漏洞 (CVE-2024-4577) 进行的利用。该漏洞是一个影响安装在 Windows 操作系统上的所有 PHP 版本的 CGI 参数注入漏洞。成功利用该漏洞可能导致远程代码执行。
赛门铁克最近几周发现多个威胁行为者正在扫描易受攻击的系统。到目前为止,我们没有发现任何证据可以让我们归因于这一威胁,攻击背后的动机仍然未知。
威胁指标
如果 IOC 是恶意的,并且该文件可供我们使用,赛门铁克终端产品将检测并阻止该文件。
-
e08dc1c3987d17451a3e86c04ed322a9424582e2f2cb6352c892b7e0645eda43 – Backdoor.Msupedge
-
f5937d38353ed431dc8a5eb32c119ab575114a10c24567f0c864cb2ef47f9f36 – Backdoor.Msupedge
-
a89ebe7d1af3513d146a831b6fa4a465c8edeafea5d7980eb5448a94a4e34480 – Web shell
原文始发于微信公众号(独眼情报):新的后门瞄准台湾某大学,采用DNS隐秘通信