Af Eskil Sørensen, 22/08/24
En ny sikkerhedstrussel er blevet opdaget af trusselsanalytikere fra Symantec i et angreb rettet mod et universitet i Taiwan.
Det skriver Infosecurity Magazine.
Truslen bruger efter sigende en sjældent set DNS-baseret kommunikationsmetode, hvor en bagdør, kaldet Backdoor.Msupedge, kommunikerer med en kommando-og-kontrol-server (C2) ved at bruge DNS-trafik.
Msupedge fungerer som et dynamisk linkbibliotek (DLL) og er blevet fundet installeret i specifikke filstier i de kompromitterede systemer. DLL'en kan udføre kommandoer modtaget via DNS-forespørgsler, hvilket er en metode, der ikke kun hjælper den med at undgå opdagelse, men som også gør det lettere at kontrollere inficerede maskiner, fremgår det.
Infosecurity Magazine skriver, at der blandt de mest karakteristiske træk ved Msupedge er det, at den har en evne til at ændre sin adfærd baseret på den løste IP-adresse fra DNS-forespørgslen. Specifikt bruges den tredje oktet af den løste IP-adresse som en switch til at bestemme kommandoen, der skal udføres, lige fra oprettelse af processer til download af filer eller den kan få systemet til at sove i et bestemt tidsrum.
Symantec forklarer i sin rapport, at denne nye bagdør understøtter flere kommandoer, herunder:
- Oprettelse af en proces via DNS TXT-poster
- Download af filer fra URL'er modtaget via DNS
- Etablering af dvaletilstande i den inficerede maskine i op til 24 timer
- Fjernelse af midlertidige filer
Den første indtrængen menes at være sket gennem udnyttelse af en PHP-sårbarhed (CVE-2024-4577), som blev offentliggjort i midten af juli, der påvirker alle PHP-versioner installeret på Windows. Denne fejl kan føre til fjernafvikling af kode.
Symantecs opdagelse viser altså, hvad fjernafvikling af kode (også) kan bruges til.
Links:
https://www.infosecurity-magazine.com/news/dns-based-backdoor-taiwanese/
https://cert.dk/da/news/2024-06-11/Ny-PHP-saarbarhed-goer-Windows-servere-saarbare