以前未曾见过的后门利用 DNS 流量与命令和控制服务器通信。 一种以前未见过的后门（Backdoor.Msupedge）利用一种不经常见到的技术被部署在对台湾一所大学的攻击中。

这个后门的最显著特征是它通过 DNS 流量与命令和控制（C&C）服务器通信。虽然这种技术是已知的，并且已经被多个威胁行为者使用，但这并不是经常见到的事情。

Msupedge 分析

Msupedge 是一个以动态链接库（DLL）形式存在的后门。已发现它安装在以下文件路径中：

• csidl_drive_fixedxamppwuplog.dll
• csidl_systemwbemwmiclnt.dll

当 wuplog.dll 被 Apache（httpd.exe）加载时，wmiclnt.dll 的父进程是未知的。

Msupedge 使用 DNS 隧道与 C&C 服务器通信。DNS 隧道工具的代码基于公开可用的 dnscat2工具。它通过执行名称解析来接收命令。解析的主机名结构如下：

图 1. 初始名称解析的主机名。

图2. 计算机名发送后使用的主机名

错误通知包括以下内容的成功或失败：

• 内存分配
• 接收命令的解压缩
• 接收到的命令执行

后门还似乎将命令执行的结果编码为第五级域并发送。

Msupedge 不仅通过 DNS 流量接收命令，还使用 C&C 服务器的解析 IP 地址 (ctl.msedeapi[.]net) 作为命令。 解析 IP 地址的第三个八位是一个开关案例。 后门的行为将根据解析 IP 地址的第三个八位减去七的值而改变。 例如，如果第三个八位是 145，则这相当于 138 (以十六进制表示为 0x8a)。

图 3. 检索已解析的 IP 地址。

图 4. 后门的行为会根据解析的 IP 地址的第三个八位组减去七的值而改变。

Msupedge 支持以下命令：

• 案例 0x8a：创建进程。命令通过 DNS TXT 记录接收。
• 案例 0x75：下载文件。下载 URL 通过 DNS TXT 记录接收。
• 案例 0x24：睡眠（ip_4 * 86400 * 1000 毫秒）。
• 案例 0x66：睡眠（ip_4 * 3600 * 1000 毫秒）。
• 案例 0x38：创建 %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的目的未知。
• 案例 0x3c：删除 %temp%1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。

感染向量

初始入侵可能是通过最近修补的 PHP 漏洞 (CVE-2024-4577) 进行的利用。该漏洞是一个影响安装在 Windows 操作系统上的所有 PHP 版本的 CGI 参数注入漏洞。成功利用该漏洞可能导致远程代码执行。

赛门铁克最近几周发现多个威胁行为者正在扫描易受攻击的系统。到目前为止，我们没有发现任何证据可以让我们归因于这一威胁，攻击背后的动机仍然未知。

威胁指标

如果 IOC 是恶意的，并且该文件可供我们使用，赛门铁克终端产品将检测并阻止该文件。

• e08dc1c3987d17451a3e86c04ed322a9424582e2f2cb6352c892b7e0645eda43 – Backdoor.Msupedge

• f5937d38353ed431dc8a5eb32c119ab575114a10c24567f0c864cb2ef47f9f36 – Backdoor.Msupedge

• a89ebe7d1af3513d146a831b6fa4a465c8edeafea5d7980eb5448a94a4e34480 – Web shell