威胁行为者利用 PHP-CGI RCE 漏洞攻击 Windows 计算机

攻击全景透视
思科Talos近期披露针对日本多行业的APT攻击活动，自2025年1月起持续活跃。攻击者利用PHP-CGI高危漏洞（CVE-2024-4577，CVSS 9.8）入侵Windows服务器，构建包含初始入侵、持久化、横向渗透、凭证窃取的完整攻击链。目标涵盖科技、电信、娱乐、教育及电商领域机构。

漏洞利用技术拆解

• 漏洞根源：Windows代码页"最佳匹配"机制缺陷，导致PHP-CGI将命令行特殊字符（如‑被替换为/）误解析为PHP参数

• 攻击条件：Apache服务器配置PHP-CGI模块且未更新至PHP 8.3.8/8.2.20修复版本

武器化工具：

# 公开利用脚本PHP-CGI_CVE-2024-4577_RCE.py  # 功能：发送特制POST请求，检测响应中MD5值"e10adc3949ba59abbe56e057f20f883e"确认漏洞存在

入侵攻击链

攻击链全流程

1. 初始入侵

• 通过漏洞执行PHP代码触发PowerShell命令

• 从C2服务器（IP：38.14.255.23/118.31.18.77，阿里云托管）下载PowerShell注入脚本

2. 载荷投递

• 脚本携带Base64/十六进制编码的Cobalt Strike反向HTTP shellcode

• 内存注入技术规避检测：

# 混淆代码片段  function func_get_proc_address {      Param ($var_module, $var_procedure)      $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object {          $_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('System.dll')      }).GetType('Microsoft.Win32.UnsafeNativeMethods')  }

持久化驻留

• 注册表篡改：

reg add "HKLMSoftwareMicrosoftWindowsCurrentVersionRun" /v Svchost /t REG  

计划任务植入：

sharpTask.exe --AddTask Computer|local|hostname|ip 24h:time|12:30  some Servi

痕迹清除

wevtutil cl security  # 清除安全日志  wevtutil cl system    # 清除系统日志  wevtutil cl application  # 清除应用日志  wevtutil cl windows powershell  # 清除PowerShell操作日志  

横向渗透

• 网络侦查：

  fscan.exe -h 192[.]168[.]1[.]1/24  # 全网段端口扫描  Seatbelt.exe -group=Remote -full    # 收集远程访问凭证

• 组策略滥用：使用SharpGPOAbuse.exe推送恶意脚本至域内主机

• 凭证窃取：执行Mimikatz提取内存密码/NTLM哈希

威胁关联与武器库特征

• 战术重叠：与APT组织"暗云盾/You Dun"（2024年活动）存在技术相似性，但暂未明确归属

• 武器库升级：

• 自动化漏洞利用工具链

• 定制化内存驻留后门

• 智能横向渗透模块

• 使用"TaoWu"定制版Cobalt Strike插件套件

• C2服务器预置阿里云容器镜像仓库托管的攻击框架安装脚本，包含：

防御矩阵建议

• 紧急措施：

• 立即升级PHP至安全版本（≥8.3.8/8.2.20）

• 封锁阿里云C2服务器IP（38.14.255.23/118.31.18.77）的出入站流量

• 深度检测：

• 监控异常计划任务创建（关键词：sharpTask.exe、12:30时间参数）

• 分析PowerShell进程是否加载非托管API（如Microsoft.Win32.UnsafeNativeMethods）

• 体系化防护：

• 启用Windows Defender ASR规则阻断恶意PowerShell

• 部署内存威胁检测方案捕捉Cobalt Strike/Mimikatz特征

• 实施网络流量深度解析，识别C2通信模式

战略预警
此次攻击凸显两大趋势：

1. 老旧组件武器化：攻击者加速利用历史漏洞（如PHP-CGI），结合公开PoC实现快速突破

2. 云原生威胁升级：依托主流云平台（阿里云）构建弹性C2基础设施，未来可能扩展至容器化攻击场景企业需构建"漏洞修复-内存防护-流量分析"三位一体防御体系，应对APT攻击的持续进化。

原文来自: cybersecuritynews.com