ShadowPad的隐秘入侵:通过WSUS漏洞构建持久化后门
ShadowPad恶意软件活动代表了一种紧迫且高级的网络安全威胁,它利用微软WSUS服务中的一个关键漏洞来获得完整的系统访问权限。这个高度模块化的后门正被国家背景的威胁行为体积极利用,以针对全球关键行业,这突显了立即进行检测和缓解工作的必要性。
执行摘要
一个在2025年11月发现的复杂网络攻击活动,利用微软Windows Server更新服务中的一个关键漏洞来部署ShadowPad。这是一个高度模块化的后门恶意软件,被中国国家级APT组织广泛用于间谍活动。
ShadowPad是一个私下出售的模块化后门平台,自2015年以来一直活跃,被广泛认为是PlugX的继任者。该恶意软件通过DLL侧加载进行操作,利用一个合法的可执行文件来加载恶意的DLL有效载荷,该DLL作为内存驻留的加载器来执行后门。执行后,ShadowPad会启动一个核心模块,负责将嵌入在shellcode中的其他插件加载到内存中,从而实现灵活的远程控制能力,包括命令执行、横向移动和数据窃取。
攻击方法论
ShadowPad活动已针对全球组织,SentinelOne研究在2024年7月至2025年3月期间发现了超过70名受害者,涉及制造业、政府、金融、电信和研究等多个行业。
利用CVE-2025-59287
从2025年10月22日开始,威胁行为体迅速武器化了公开发布的CVE-2025-59287概念验证漏洞利用代码,以攻击暴露在TCP端口8530和8531上的WSUS服务器。该漏洞源于WSUS报告Web服务中对不可信数据的不安全反序列化,允许远程未认证的攻击者以SYSTEM权限执行任意代码。
初始访问和立足点建立
在利用WSUS漏洞后,攻击者部署了PowerCat,这是一个基于PowerShell的开源Netcat实用程序,用于在受感染的服务器上建立一个交互式命令shell。观察到的PowerShell命令从GitHub下载PowerCat并连接到远程C2 IP地址上的端口8080,从而获得对主机的完全控制。
通过“离地攻击”二进制文件安装ShadowPad
2025年11月6日,攻击者利用同一漏洞执行合法的Windows实用程序来交付恶意软件。攻击者从外部服务器下载了经过base64编码的ShadowPad组件,使用certutil解码,并将恶意软件直接部署到受害者系统上。
被利用的漏洞
| CVE ID | 影响 | 漏洞利用前提条件 | CVSS评分 | EPSS评分 |
|---|---|---|---|---|
| CVE-2025-59287 | 通过WSUS反序列化缺陷实现SYSTEM权限的远程代码执行 | 网络可访问WSUS服务器的8530/8531端口 | 9.8 | 64.04% |
| CVE-2024-24919 | VPN凭据窃取,实现初始网络访问 | 未打补丁的Check Point网关设备 | 8.6 | 94.34% |
| CVE-2021-26855 | Microsoft Exchange ProxyLogon 远程代码执行 | 未打补丁的Exchange服务器 | 9.1 | 94.37% |
缓解与修复
鉴于CVE-2025-59287被积极利用来部署ShadowPad,立即缓解至关重要:
- 应用微软于2025年10月23日发布的带外安全更新以解决CVE-2025-59287。
- 在主机级防火墙上阻止对TCP端口8530和8531的入站流量,以消除攻击途径。
- 审查WSUS服务器的暴露情况,并确保只有Microsoft更新服务器可以访问WSUS基础架构。
- 审计可疑活动,包括PowerShell、certutil.exe和curl.exe的执行历史,以及异常模式的网络连接日志。
- 监控DLL侧加载的迹象,包括可疑的文件组合。
- 如果无法立即应用补丁,可临时禁用WSUS服务器角色。
能力
ShadowPad展示了专为长期间谍活动设计的复杂能力:
- 模块化后门架构,能够在运行时从C2服务器动态加载插件。
- DLL搜索顺序劫持执行,通过像ETDCtrlHelper.exe这样的合法可执行文件来规避检测。
- 多协议C2通信,支持TCP、UDP、HTTP、HTTPS、SSL和DNS协议。
- 基于日期的域名生成算法,用于实现弹性的C2连接。
- 系统侦察,包括主机名、用户名、操作系统版本、内存状态和CPU频率收集。
- 基于注册表的持久化和使用虚拟文件系统的配置存储。
- 进程注入能力,针对包括svchost.exe、Windows Mail和Windows Media Player在内的合法Windows进程。
可视化流程
初始访问 -> 漏洞利用 -> 立足点/有效载荷交付 -> 执行与持久化 -> 命令与控制 -> 影响
入侵指标
ShadowPad活动暴露了多个主机、网络和行为指标,组织可以利用这些指标来检测潜在的入侵:
基于主机的IOC
- 通过DLL侧加载传递的恶意DLL。
- 配置文件:0C137A80.tmp。
- 服务创建:“Q-X64”,描述为“Q-X64 Service for windows”。
- 计划任务:Microsoft\Windows\UPnP下的“Microsoft Corporation”。
- 注册表持久化。
- 进程注入。
行为IOC
- PowerShell执行,从GitHub仓库下载PowerCat。
- 使用Certutil.exe对下载的文件进行base64解码。
- 使用Curl.exe从外部IP地址下载.txt文件。
- 从wsusservice.exe或w3wp.exe产生意外的子进程。
这些指标共同反映了中国APT组织的高超技巧——利用零日漏洞利用、“离地攻击”二进制文件和模块化恶意软件平台——来部署ShadowPad并维持对间谍活动的持久访问。
战术与技术
攻击者利用关键基础设施组件来实现远程代码执行并建立持久的后门访问。
- TA0001 – 初始访问:通过利用公开暴露的WSUS服务器中的CVE-2025-59287反序列化漏洞获得入口。
- T1190 – 利用公开暴露的应用程序:利用WSUS Web服务端点实现未认证的SYSTEM权限远程代码执行。
- TA0002 – 执行:在成功利用后通过PowerShell、certutil和curl执行恶意载荷。
- T1059.001 – 命令和脚本解释器:PowerShell:使用PowerShell下载并执行PowerCat以建立反向shell连接。
- TA0003 – 持久化:通过注册表修改、计划任务和Windows服务创建来建立持久性。
- T1574.001 – 劫持执行流:DLL搜索顺序劫持:利用合法的ELAN触摸板可执行文件来侧加载恶意的ShadowPad加载器DLL。
- T1071 – 应用层协议:ShadowPad通过HTTP/HTTPS与C2服务器通信,使用伪造的浏览器标头以与合法流量混合。
使用Saner补丁管理即时修复风险
Saner补丁管理是一个持续、自动化和集成的软件,可以即时修复在野外被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统,以及550多个第三方应用程序。 它还允许您建立一个安全的测试区域,以便在主生产环境中部署补丁之前对其进行测试。Saner补丁管理额外支持在补丁失败或系统故障时进行补丁回滚的功能。