黑客如何利用 Msupedge 恶意软件通过 PHP 漏洞渗透 Windows 网络

在近期网络威胁激增中，一种新发现的名为 Msupedge 的后门正被黑客积极部署，以入侵 Windows 系统。这种复杂的恶意软件最初是在台湾一所大学的网络上发现的，据信它利用了关键的 PHP 漏洞 CVE-2024-4577 来获取未经授权的访问并执行任意代码。

核心的脆弱性

CVE-2024-4577 是 Windows 系统上 PHP-CGI（通用网关接口）模式的一个严重漏洞，已于 2024 年 6 月修复。此漏洞允许攻击者远程注入参数并执行任意代码。该漏洞尤其令人担忧，因为它会影响以 CGI 模式运行的 PHP 安装，对于尚未应用补丁的系统来说，这是一个高风险问题。利用此漏洞可能导致整个系统被入侵，使攻击者能够完全控制目标机器。

Msupedge：一种新型恶意软件

Msupedge 后门尤其值得注意，它使用 DNS 流量与其命令和控制 (C&C) 服务器进行通信，这种技术虽然并不新鲜，但在野外却很少见。这种方法称为 DNS 隧道，利用 dnscat2 工具将数据封装在 DNS 查询和响应中，从而使恶意软件能够秘密接收来自攻击者的命令。

一旦进入系统，Msupedge 便可以执行一系列命令，这些命令由与其 C&C 服务器关联的特定 IP 地址触发。这些命令包括创建进程、下载文件和管理临时文件，为攻击者提供了控制和操纵受感染系统的多功能工具。

攻击行动

据负责调查此事件的赛门铁克威胁猎人团队称，对台湾大学网络的首次入侵可能是通过利用 CVE-2024-4577 漏洞进行的。攻击者将 Msupedge 恶意软件部署为两个动态链接库 (DLL)，即 weblog.dll 和 wmiclnt.dll，前者由 Apache httpd.exe 进程加载。

此次攻击让人想起了之前利用类似 PHP 漏洞的事件，例如 CVE-2012-1823 漏洞，该漏洞在补丁发布多年后仍被用来传播 RubyMiner 恶意软件。此类漏洞的持续存在凸显了及时修补的重要性，以及与遗留系统和未打补丁的软件相关的持续风险。

更广泛的威胁形势

Msupedge 的发现正值威胁行为者越来越多地以惊人的速度瞄准新发现的漏洞这一更广泛的趋势。就在 PHP 维护人员发布 CVE-2024-4577 补丁的第二天，安全研究人员就发现了广泛的利用尝试，包括臭名昭著的 TellYouThePass 勒索软件团伙。

这些快速的攻击行动凸显了组织机构在安全补丁发布后立即应用的紧迫性。补丁延迟可能会为类似 Msupedge 的攻击打开大门，这可能会对受感染的系统造成毁灭性后果。

Msupedge 的出现清楚地提醒我们，网络犯罪分子入侵系统和逃避检测的手段正在不断演变。通过利用 DNS 隧道和利用关键漏洞，攻击者不断改进其方法，使防御者越来越难以保护其网络。组织必须保持警惕，及时应用补丁，并采用先进的威胁检测技术，以领先于这些新兴威胁。