文章总结: 文档分析了针对IvantiEPMM漏洞CVE-2026-1281的大规模攻击活动,揭示攻击高度集中于单一防弹主机IP,并采用自动化指纹切换、多漏洞并发扫描及OAST带外探测等隐蔽技术。核心发现是攻击者主要扮演初始接入代理角色,通过DNS信标确认漏洞后植入休眠内存后门,而非立即破坏,旨在长期潜伏并转售访问权限。建议采取网络封锁、日志审计、主机排查及假设已失陷的深度防御措施。 综合评分: 78 文章分类: 威胁情报,漏洞预警,安全运营,渗透测试,应急响应
惊了!单个 IP 竟承包 83% 的攻击量?Ivanti 0-day 背后的“防弹”黑产大揭秘
原创
Hankzheng Hankzheng
技术修道场
2026年2月14日 08:49 广东
大家好最近安全圈子里最热闹的事儿,莫过于 Ivanti EPMM(Endpoint Manager Mobile)爆出的那两个重磅级漏洞了。特别是那个 CVE-2026-1281,CVSS 评分直接拉满到 9.8,妥妥的“灭霸”级别。
本来以为这只是一次常规的 0-day 爆发,但我最近扒了一下威胁情报厂商 GreyNoise 和 Defused Cyber 的最新数据,发现这背后的水比我们想象的要深得多。
这绝不是脚本小子在捣乱,而是一场组织严密、高度自动化、且极具战略耐心的“圈地运动”。
今天,我们就从技术角度来硬核拆解一下,这波攻击到底是怎么玩的,以及为什么你的日志里可能藏着一颗“定时炸弹”。
01 离谱的数据:一个 IP 的“独角戏”
通常我们遇到大规模扫描,来源 IP 都是分散的,毕竟黑客也怕被封。但这次的情况非常反常。
根据监测数据,在 2026 年 2 月 1 日到 9 日期间,针对 Ivanti EPMM 的攻击流量中,竟然有 83% 都来自同一个 IP 地址:
🎯 IP 地址:193.24.123[.]42
这哥们儿简直是劳模,凭一己之力发起了 346 次有效攻击会话。
你可能会问,这么高频的攻击,防火墙早该拉黑了才对,它是怎么存活的?
这就涉及到了一个关键词:Bulletproof Hosting(防弹主机)。
这个 IP 属于一家名为 PROSPERO 的服务商。所谓的“防弹主机”,就是那种无视任何 Abuse 投诉、专门为黑产提供庇护的基础设施。不管你发多少封投诉邮件,甚至执法部门介入,他们都岿然不动。
更有意思的是,情报显示 PROSPERO 背后其实关联着 Proton66——这是一个“名声在外”的恶意软件分发网络,惯用 GootLoader、SpyNote 这种狠货。换句话说,这绝不是单兵作战,而是正规军下场了。
02 技术拆解:自动化的“千面人”
虽然 IP 只有一个,但这台机器表现出的特征极其复杂,典型的“单一源头,多重伪装”。
1. User Agent 的暴力轮询
为了绕过基于特征的 WAF(Web应用防火墙),攻击脚本在极短时间内轮换了 300 多种 User Agent 字符串。
- 一会伪装成 Chrome/Firefox/Safari;
- 一会又变成各种移动端 OS;
- 甚至还有冷门的爬虫标识。
这种高频的指纹切换,如果你的防御规则只是简单匹配 User-Agent,大概率会被它绕过去。这表明攻击者使用的是高度定制化的自动化攻击框架。
2. “广撒网”式的并发攻击
这台服务器不仅仅盯着 Ivanti,它还在同时利用其他三个 CVE 进行无差别轰炸:
-
Oracle WebLogic
(CVE-2026-21962):打了近 3000 次。
-
GNU InetUtils telnetd
(CVE-2026-24061):打了 500 次。
-
GLPI
(CVE-2025-24799):打了 200 次。
这种行为模式非常符合僵尸网络(Botnet)扩充地盘的特征:不挑食,只要是洞,先扫了再说。
03 核心战术:只“打点”,不“爆破”
这是本文最需要大家警惕的技术点。
很多人觉得,如果我中了毒,服务器肯定会 CPU 飙升、文件被加密或者被植入挖矿木马。但这次攻击者采用了极其隐蔽的 Initial Access Broker(初始接入代理) 战术。
OAST 带外探测
数据显示,85% 的攻击会话并没有直接丢 Webshell 或恶意 Payload,而是发起了一个 DNS Beacon 请求。
这就是我们常说的 OAST(Out-of-Band Application Security Testing,带外应用安全测试) 技术。
原理很简单:
攻击者发送一个包含 Payload 的请求,这个 Payload 不会直接回显数据,而是让目标服务器去解析一个特定的域名(例如 unique-id.attacker-dns.com)。 一旦攻击者的 DNS 服务器收到了这个解析请求,他们就知道:“Bingo!这台机器有漏洞,且能出网。”
他们只是在确认目标的可利用性,然后把你的服务器记录在案,作为“商品”上架。
沉睡的 Shell(Sleeper Shell)
更可怕的在后面。Defused Cyber 发现,部分被深度利用的 Ivanti 实例中,被植入了一个极难察觉的后门:
-
藏匿路径:/mifs/403.jsp
-
实现技术:
内存驻留(In-memory)Java 类加载器
这玩意儿平时是休眠(Dormant)状态。攻击者不急着动它,而是把它当成一个“影子账户”。等到哪天有金主买下了这个访问权限,他们再通过这个接口下发真正的勒索病毒或窃密工具。
这对我们运维和安全人员来说是个巨大的挑战:
-
文件落地少:
核心逻辑在内存里,传统杀毒软件很难扫出来。
-
流量异常少:
它不主动外连,平时安安静静,你在流量监控里很难发现异常。
04 咱们该怎么办?(不仅是打补丁)
既然知道了对手的套路,我们的防御手段也得升级。光打官方补丁(Patch)是基础,但对于已经潜伏的威胁,还得做一次彻底的“大扫除”。
建议各位老铁立马执行以下操作:
1. 网络层封锁(最快见效): 直接在边界防火墙上,封锁 PROSPERO 的自治系统号 AS200593。既然是防弹主机,封了整个 AS 段通常不会误杀正常业务。
2. 日志审计(重点查 DNS): 别光看 Web 日志,去查你的 DNS 解析日志。 有没有向奇怪的、高熵值的域名(如 xyz123.badsite.com)发起解析请求?这就是 OAST 探测留下的唯一尾巴。
3. 主机层排查(捉鬼): 重点检查 Ivanti EPMM 的文件系统,特别是 /mifs/403.jsp 这个路径。如果发现了,别犹豫,立马隔离机器取证。
4. 假设已失陷(Assume Breach): EPMM 这种 MDM(移动设备管理)系统一旦沦陷,意味着攻击者可以横向移动到整个内网,甚至控制员工手机。如果你有面向公网的 MDM 或 VPN,请假设它已经被黑了,并以此为前提去排查内网的横向移动痕迹。
05 结尾
技术在对抗中螺旋上升。现在的黑客越来越像正规的软件开发商,他们有版本控制,有自动化测试(OAST),甚至有完善的供应链(初始接入商 -> 勒索软件团伙)。
作为防御者,我们不能只盯着“病毒”看,更要学会识别“流量”和“行为”背后的逻辑。
如果觉得这篇文章对你有帮助,欢迎点赞、在看、转发三连!你的支持是我持续输出干货的动力。
— END —
关注公众号,获取更多硬核技术资讯
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:技术修道场 Hankzheng Hankzheng《惊了!单个 IP 竟承包 83% 的攻击量?Ivanti 0-day 背后的“防弹”黑产大揭秘》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论