惊了!单个IP竟承包83%的攻击量?Ivanti0-day背后的“防弹”黑产大揭秘

admin 2026-02-17 19:51:37 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档分析了针对IvantiEPMM漏洞CVE-2026-1281的大规模攻击活动,揭示攻击高度集中于单一防弹主机IP,并采用自动化指纹切换、多漏洞并发扫描及OAST带外探测等隐蔽技术。核心发现是攻击者主要扮演初始接入代理角色,通过DNS信标确认漏洞后植入休眠内存后门,而非立即破坏,旨在长期潜伏并转售访问权限。建议采取网络封锁、日志审计、主机排查及假设已失陷的深度防御措施。 综合评分: 78 文章分类: 威胁情报,漏洞预警,安全运营,渗透测试,应急响应


cover_image

惊了!单个 IP 竟承包 83% 的攻击量?Ivanti 0-day 背后的“防弹”黑产大揭秘

原创

Hankzheng Hankzheng

技术修道场

2026年2月14日 08:49 广东

大家好最近安全圈子里最热闹的事儿,莫过于 Ivanti EPMM(Endpoint Manager Mobile)爆出的那两个重磅级漏洞了。特别是那个 CVE-2026-1281,CVSS 评分直接拉满到 9.8,妥妥的“灭霸”级别。

本来以为这只是一次常规的 0-day 爆发,但我最近扒了一下威胁情报厂商 GreyNoise 和 Defused Cyber 的最新数据,发现这背后的水比我们想象的要深得多。

这绝不是脚本小子在捣乱,而是一场组织严密、高度自动化、且极具战略耐心的“圈地运动”。

今天,我们就从技术角度来硬核拆解一下,这波攻击到底是怎么玩的,以及为什么你的日志里可能藏着一颗“定时炸弹”。

01 离谱的数据:一个 IP 的“独角戏”

通常我们遇到大规模扫描,来源 IP 都是分散的,毕竟黑客也怕被封。但这次的情况非常反常。

根据监测数据,在 2026 年 2 月 1 日到 9 日期间,针对 Ivanti EPMM 的攻击流量中,竟然有 83% 都来自同一个 IP 地址

🎯 IP 地址:193.24.123[.]42

这哥们儿简直是劳模,凭一己之力发起了 346 次有效攻击会话。

你可能会问,这么高频的攻击,防火墙早该拉黑了才对,它是怎么存活的?

这就涉及到了一个关键词:Bulletproof Hosting(防弹主机)

这个 IP 属于一家名为 PROSPERO 的服务商。所谓的“防弹主机”,就是那种无视任何 Abuse 投诉、专门为黑产提供庇护的基础设施。不管你发多少封投诉邮件,甚至执法部门介入,他们都岿然不动。

更有意思的是,情报显示 PROSPERO 背后其实关联着 Proton66——这是一个“名声在外”的恶意软件分发网络,惯用 GootLoader、SpyNote 这种狠货。换句话说,这绝不是单兵作战,而是正规军下场了。

02 技术拆解:自动化的“千面人”

虽然 IP 只有一个,但这台机器表现出的特征极其复杂,典型的“单一源头,多重伪装”。

1. User Agent 的暴力轮询

为了绕过基于特征的 WAF(Web应用防火墙),攻击脚本在极短时间内轮换了 300 多种 User Agent 字符串

  • 一会伪装成 Chrome/Firefox/Safari;
  • 一会又变成各种移动端 OS;
  • 甚至还有冷门的爬虫标识。

这种高频的指纹切换,如果你的防御规则只是简单匹配 User-Agent,大概率会被它绕过去。这表明攻击者使用的是高度定制化的自动化攻击框架。

2. “广撒网”式的并发攻击

这台服务器不仅仅盯着 Ivanti,它还在同时利用其他三个 CVE 进行无差别轰炸:

  • Oracle WebLogic

    (CVE-2026-21962):打了近 3000 次。

  • GNU InetUtils telnetd

    (CVE-2026-24061):打了 500 次。

  • GLPI

    (CVE-2025-24799):打了 200 次。

这种行为模式非常符合僵尸网络(Botnet)扩充地盘的特征:不挑食,只要是洞,先扫了再说。

03 核心战术:只“打点”,不“爆破”

这是本文最需要大家警惕的技术点。

很多人觉得,如果我中了毒,服务器肯定会 CPU 飙升、文件被加密或者被植入挖矿木马。但这次攻击者采用了极其隐蔽的 Initial Access Broker(初始接入代理) 战术。

OAST 带外探测

数据显示,85% 的攻击会话并没有直接丢 Webshell 或恶意 Payload,而是发起了一个 DNS Beacon 请求。

这就是我们常说的 OAST(Out-of-Band Application Security Testing,带外应用安全测试) 技术。

原理很简单:

攻击者发送一个包含 Payload 的请求,这个 Payload 不会直接回显数据,而是让目标服务器去解析一个特定的域名(例如 unique-id.attacker-dns.com)。 一旦攻击者的 DNS 服务器收到了这个解析请求,他们就知道:“Bingo!这台机器有漏洞,且能出网。”

他们只是在确认目标的可利用性,然后把你的服务器记录在案,作为“商品”上架。

沉睡的 Shell(Sleeper Shell)

更可怕的在后面。Defused Cyber 发现,部分被深度利用的 Ivanti 实例中,被植入了一个极难察觉的后门:

  • 藏匿路径:/mifs/403.jsp

  • 实现技术:

    内存驻留(In-memory)Java 类加载器

这玩意儿平时是休眠(Dormant)状态。攻击者不急着动它,而是把它当成一个“影子账户”。等到哪天有金主买下了这个访问权限,他们再通过这个接口下发真正的勒索病毒或窃密工具。

这对我们运维和安全人员来说是个巨大的挑战:

  1. 文件落地少:

    核心逻辑在内存里,传统杀毒软件很难扫出来。

  2. 流量异常少:

    它不主动外连,平时安安静静,你在流量监控里很难发现异常。

04 咱们该怎么办?(不仅是打补丁)

既然知道了对手的套路,我们的防御手段也得升级。光打官方补丁(Patch)是基础,但对于已经潜伏的威胁,还得做一次彻底的“大扫除”。

建议各位老铁立马执行以下操作:

1. 网络层封锁(最快见效): 直接在边界防火墙上,封锁 PROSPERO 的自治系统号 AS200593。既然是防弹主机,封了整个 AS 段通常不会误杀正常业务。

2. 日志审计(重点查 DNS): 别光看 Web 日志,去查你的 DNS 解析日志。 有没有向奇怪的、高熵值的域名(如 xyz123.badsite.com)发起解析请求?这就是 OAST 探测留下的唯一尾巴。

3. 主机层排查(捉鬼): 重点检查 Ivanti EPMM 的文件系统,特别是 /mifs/403.jsp 这个路径。如果发现了,别犹豫,立马隔离机器取证。

4. 假设已失陷(Assume Breach): EPMM 这种 MDM(移动设备管理)系统一旦沦陷,意味着攻击者可以横向移动到整个内网,甚至控制员工手机。如果你有面向公网的 MDM 或 VPN,请假设它已经被黑了,并以此为前提去排查内网的横向移动痕迹。

05 结尾

技术在对抗中螺旋上升。现在的黑客越来越像正规的软件开发商,他们有版本控制,有自动化测试(OAST),甚至有完善的供应链(初始接入商 -> 勒索软件团伙)。

作为防御者,我们不能只盯着“病毒”看,更要学会识别“流量”和“行为”背后的逻辑。

如果觉得这篇文章对你有帮助,欢迎点赞、在看、转发三连!你的支持是我持续输出干货的动力。

— END —

关注公众号,获取更多硬核技术资讯


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:技术修道场 Hankzheng Hankzheng《惊了!单个 IP 竟承包 83% 的攻击量?Ivanti 0-day 背后的“防弹”黑产大揭秘》

评论:0   参与:  0