行業新聞與博客
台灣大學發現新的基於 DNS 的後門威脅
威脅分析人員在針對台灣大學的攻擊中發現了一種新的安全威脅,該威脅利用了一種罕見的基於 DNS 的通信方法。
該後門被稱為 Backdoor.Msupedge,由賽門鐵克識別,它使用 DNS 流量與命令和控制 (C2) 服務器進行通信,這是一種已知技術,但網絡犯罪分子很少使用。
Msupedge 以動態鏈接庫 (DLL) 的形式運行,被發現安裝在受感染系統的特定文件路徑中。該 DLL 可以執行通過 DNS 查詢收到的命令;這種方法不僅有助於逃避檢測,還有助於對受感染的機器進行隱秘控制。
Msupedge 最顯著的特徵之一是它能夠根據 DNS 查詢中解析出的 IP 地址修改其行為。具體來説,解析後的 IP 地址的第三個八位字節用作開關來確定要執行的命令,包括創建進程、下載文件或使系統休眠指定的時間。
賽門鐵克解釋稱,這個新的後門支持多種命令,包括:
通過 DNS TXT 記錄創建進程
從通過 DNS 收到的 URL 下載文件
使受感染的機器進入睡眠模式長達 24 小時
刪除臨時文件
據信,最初的入侵是通過利用最近的 PHP 漏洞 (CVE-2024-4577) 發生的,該漏洞影響 Windows 上安裝的所有 PHP 版本。該漏洞是一個 CGI 參數注入漏洞,可導致遠程代碼執行,這對管理基於 Windows 的 Web 服務器的管理員來説是一個嚴重的問題。
賽門鐵克寫道:“最近幾周,賽門鐵克發現多個威脅行為者正在掃描易受攻擊的系統。到目前為止,我們還沒有發現任何證據來證明這一威脅的來源,攻擊背後的動機仍然未知。”
為了防範這種威脅,該安全公司在其有關 Msupedge 的最新公告中列出了一份入侵指標 (IoC)。
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服