江蘇
關鍵詞
惡意軟件
近期,安全研究機構發現威脅行為者正在積極利用微軟 Windows Server Update Services(WSUS)中的高危漏洞CVE-2025-59287投遞并部署 ShadowPad 惡意軟件。該漏洞已于上月由微軟修補,但公開概念驗證(PoC)后短時間內便遭到大規模武器化使用。
AhnLab 安全情報中心(ASEC)最新發布的報告指出,攻擊者首先掃描啟用了 WSUS 的 Windows Server,并利用該漏洞在未授權的情況下取得初始訪問權限。成功入侵后,攻擊者使用開源 PowerShell 工具PowerCat獲取系統級命令 Shell,隨后通過系統自帶工具(如 certutil 與 curl)從外部服務器下載并部署 ShadowPad。
漏洞分析與攻擊鏈條
CVE-2025-59287為 WSUS 反序列化漏洞,可被遠程執行任意代碼并獲得SYSTEM級權限。由于漏洞觸發無需用戶交互,并且 WSUS 常在暴露的服務器上啟用,使其成為極具價值的攻擊入口。
ASEC 記錄的攻擊流程包括:
利用漏洞獲取 SYSTEM 權限
執行 PowerCat 建立遠程 Shell
通過
curl.exe或certutil.exe下載 ShadowPad 安裝文件利用 DLL 側加載(Side-loading)機制執行 ShadowPad
攻擊中使用的合法程序ETDCtrlHelper.exe(與觸控板驅動相關)被用于側加載名為ETDApix.dll的惡意 DLL,以實現內存駐留與隱蔽執行。
ShadowPad:高度模塊化的國家級后門
ShadowPad 被認為是 PlugX 的后繼者,自 2015 年以來被多支中國國家級威脅組織廣泛使用。SentinelOne 曾將其描述為“中國網絡間諜活動中最復雜、最高級的私售惡意軟件之一”。
其能力包括:
模塊化加載多個插件
內存駐留執行
混淆與反檢測
持久化組件
遠程控制與橫向移動能力
在本次事件中,ShadowPad 從外部服務器(如149.28.78[.]189:42306)獲取核心組件,并通過內存中的 shellcode 加載其余插件。
風險與行業影響
隨著 PoC 流出,大量攻擊者已將該漏洞納入攻擊鏈中,不僅用于 ShadowPad,還被用于部署 Velociraptor 等合法工具,以實現更隱蔽的偵察和持久控制。
WSUS 的高權限特性使漏洞危害進一步放大,一旦被攻破,攻擊者可直接控制企業的內部更新系統,在整個網絡環境中大規模傳播惡意軟件。
AhnLab 警告稱:“該漏洞允許以系統級權限遠程執行代碼,潛在影響極其嚴重,已成為攻擊者的重點目標。”
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
