赛门铁克报告罕见的后门技术 Backdoor.Msupedge

赛门铁克的安全研究人员近日报告了一种很罕见的后门技术 Backdoor.Msupedge，它被用于攻击中国台湾一所大学。

赛门铁克Threat Hunter Team安全团队深入调查分析了该漏洞，认为攻击者是利用 CVE-2024-4577 漏洞入侵系统的。

黑客可以利用Msupedge 来执行各种命令，这些命令会根据 C&C 服务器解析 IP 地址的八比特（Octet）第三位触发。

它通过 DNS 流量与 C&C（指令控制）服务器通信，而它的 DNS 隧道工具则使用的是基于公开代码的dnscat2 工具。

通俗的来说，就是该后门可以通过黑客控制的 C&C 服务器（ctl.msedeapi[.]net)）域名解析到 IP 地址作为攻击指令。

_{图片来源：securityaffairs}

而解析后的 IP 地址的第三个八位组则是一个开关语句，后门相关行为将根据该八位组减去7的值而实现实时的改变。

该后门还支持多种命令，包括包括创建进程、下载文件和管理临时文件，成功利用该漏洞可以实现远程代码执行等。

之所以被称之为 Msupedge，是这种利用域名系统（DNS）隧道的技术来与黑客控制的服务器进行通信的特殊方式。

相较HTTP或HTTPS隧道等明显做法，这种技术更难检测，因为 DNS 流量通常被认为是良性的且易被安全工具忽略。

虽然近期赛门铁克的安全人员持续追踪到黑客正扫描易受攻击的系统，但没有证据证实这是个人行为还是群体事件。

但安全人员认为黑客很可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的，漏洞的危险评分 9.8/10。

该漏洞此前我们也有过简单分析，其影响 Windows 系统上安装的所有版本 PHP，成功利用漏洞允许远程执行代码。

如果服务器/设备存在上述 CVE-2024-4577 漏洞，请务必更新至2024年06月06日发布的 8.3.8、8.2.20及 8.1.29版本。

翻译工具：搜狗翻译

参考资料：

https://therecord.media/hackers-malware-university-taiwan-backdoor

https://securityaffairs.com/167298/malware/msupedge-backdoor.html

https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns