行業新聞與部落格

臺灣大學發現新的基於 DNS 的後門威脅

威脅分析人員在針對臺灣大學的攻擊中發現了一種新的安全威脅,該威脅利用了一種罕見的基於 DNS 的通訊方法。 

該後門被稱為 Backdoor.Msupedge,由賽門鐵克識別,它使用 DNS 流量與命令和控制 (C2) 伺服器進行通訊,這是一種已知技術,但網路犯罪分子很少使用。

Msupedge 以動態連結庫 (DLL) 的形式執行,被發現安裝在受感染系統的特定檔案路徑中。該 DLL 可以執行透過 DNS 查詢收到的命令;這種方法不僅有助於逃避檢測,還有助於對受感染的機器進行隱秘控制。

Msupedge 最顯著的特徵之一是它能夠根據 DNS 查詢中解析出的 IP 地址修改其行為。具體來說,解析後的 IP 地址的第三個八位位元組用作開關來確定要執行的命令,包括建立程序、下載檔案或使系統休眠指定的時間。

賽門鐵克解釋稱,這個新的後門支援多種命令,包括:

  • 透過 DNS TXT 記錄建立程序

  • 從透過 DNS 收到的 URL 下載檔案

  • 使受感染的機器進入睡眠模式長達 24 小時

  • 刪除臨時檔案

據信,最初的入侵是透過利用最近的 PHP 漏洞 (CVE-2024-4577) 發生的,該漏洞影響 Windows 上安裝的所有 PHP 版本。該漏洞是一個 CGI 引數注入漏洞,可導致遠端程式碼執行,這對管理基於 Windows 的 Web 伺服器的管理員來說是一個嚴重的問題。

賽門鐵克寫道:“最近幾周,賽門鐵克發現多個威脅行為者正在掃描易受攻擊的系統。到目前為止,我們還沒有發現任何證據來證明這一威脅的來源,攻擊背後的動機仍然未知。”

為了防範這種威脅,該安全公司在其有關 Msupedge 的最新公告中列出了一份入侵指標 (IoC)。

需要幫助嗎?聯絡我們的支援團隊 線上客服