關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.09.03
訊息與報導/資訊安全
研究人員警告:MystRodX 後門利用 DNS 和 ICMP 觸發器進行隱性控制
報導摘要

根據資安研究人員的報告,一種名為 Mystro-DX 的新型後門惡意程式已浮出水面。該程式由一個被認為與中國有關聯的駭客組織 Liminal Panda 所開發。Mystro-DX 的核心特點在於其極致的隱蔽性與高度複雜的技術。它採用 C++ 語言編寫,並運用多層加密技術來隱藏其程式碼和惡意載荷,使其能夠在受害者系統上長時間潛伏而不被發現。該後門程式具備多項遠端控制功能,包括檔案管理、埠轉發和反向命令列(reverse shell),使其能夠竊取敏感資料並遠端控制受感染的電腦。


技術細節與攻擊手法

Mystro-DX 的攻擊手法顯示出駭客組織的精密與耐心。此惡意程式透過一個精心設計的投遞工具(dropper)進入受害者系統。這個投遞工具在執行前,會先檢查系統是否處於偵錯或虛擬化環境,一旦發現可疑,便會停止執行,以避免被資安分析師追蹤。這種反分析機制使得惡意程式更難被沙箱環境所捕捉。

一旦成功繞過這些防禦,Mystro-DX 便會被植入系統。其配置檔以進階加密標準(AES)加密,其中包含命令與控制(C2)伺服器的詳細資訊,以及決定後門程式運作模式的參數。最值得關注的是,Mystro-DX 具備兩種運作模式:主動模式被動模式。在主動模式下,後門程式會持續與其 C2 伺服器通訊,接受並執行指令。

然而,真正使其具備高度隱蔽性的,是其獨特的「喚醒模式」(wake-up mode)。在這種模式下,Mystro-DX 會以一種被動的狀態潛伏在系統中,等待特定的網路封包來觸發其惡意活動。這些喚醒指令被巧妙地隱藏在網域名稱系統(DNS)查詢或網際網路控制訊息協定(ICMP)封包的載荷中。例如,駭客可以透過向特定的 DNS 查詢發送指令,或者將指令編碼在 ICMP 封包的資料部分。這種通訊方式使得惡意流量看起來像正常的網路活動,極大地增加了資安團隊偵測的難度。一旦接收到喚醒指令,後門程式便會被啟動,轉為主動模式,開始竊取資料或執行指令。

此外,Mystro-DX 還具備持久性機制。它會持續監控一個名為 'daytime' 的進程,並在該進程被終止後,自動重新啟動它。這種行為不僅能確保後門程式的持續運作,也進一步增加了其在系統中隱藏的難度。


後門程式功能與危害

Mystro-DX 是一種功能強大且多樣化的後門程式,一旦成功控制受害者的系統,駭客便能執行一系列的惡意活動:

  1. 資料竊取與滲透: Mystro-DX 能夠執行檔案管理功能,包括列舉、讀取、上傳和下載檔案。這使得駭客可以輕鬆竊取敏感資料,如商業機密、智慧財產權、客戶資料和個人檔案等。後門程式的遠端控制能力也允許駭客在網路內部橫向移動,進一步滲透到其他系統中。

  2. 遠端控制與命令執行: 透過反向命令列(reverse shell),駭客能夠獲得對受害者系統的完全控制權。他們可以遠端執行任意命令、安裝額外的惡意軟體,甚至將受害者的電腦變成僵屍網路的一部分,用來發動更廣泛的攻擊。

  3. 規避偵測與多層加密: Mystro-DX 的惡意程式碼使用多層加密技術進行隱藏,使得傳統的簽章式防毒軟體難以偵測。其被動的「喚醒模式」更是讓它能夠長時間潛伏,規避基於網路流量異常的偵測系統。


受影響範圍與防範建議

儘管具體的受害者資訊尚未被公開,但 Mystro-DX 與中國相關的駭客組織 Liminal Panda 的關聯性,表明其可能主要針對特定地區的政府機關、企業或敏感機構進行網路間諜活動。這種威脅的高度針對性與隱蔽性,要求相關組織必須採取更為積極和全面的資安防護措施。

為了有效防範 Mystro-DX 這類高階後門程式,以下幾點防範建議至關重要:

  1. 強化端點防護: 企業應部署更為先進的端點偵測與回應(EDR)解決方案,該方案不僅能基於簽章進行偵測,更能透過行為分析和機器學習來識別可疑的進程活動與檔案行為。

  2. 實施網路流量監控: 儘管 Mystro-DX 的通訊方式具有隱蔽性,但持續監控和分析網路流量,特別是異常的 DNS 和 ICMP 封包,仍然是發現這類威脅的關鍵。企業應部署網路流量分析工具(NTA)來偵測不尋常的通訊模式。

  3. 定期進行資安演練: 組織應定期進行網路釣魚演練和滲透測試,以評估其防禦體系的有效性,並提高員工對社交工程攻擊的警覺性。

  4. 確保系統與軟體更新: 儘管這類攻擊通常不依賴於已知的漏洞,但保持作業系統、應用程式和資安軟體的最新狀態,仍然能大大減少系統的攻擊面。

  5. 提高員工資安意識: 由於許多駭客攻擊的切入點都是透過員工的疏忽,因此定期的資安培訓不可或缺。員工應學會識別惡意的電子郵件、連結和附件,並了解不隨意下載或執行來路不明程式的重要性。

總結而言,Mystro-DX 的出現,標誌著網路威脅正變得越來越複雜、隱蔽且難以防範。這類後門程式的威脅已超越傳統的惡意軟體,成為國家級駭客組織進行網路間諜活動的重要工具。面對這種新型態的威脅,企業與個人都必須重新審視並升級其資安防禦策略,從被動防禦轉向更為積極主動的威脅尋求(Threat Hunting),以應對不斷演變的網路安全挑戰。


資料來源:https://thehackernews.com/2025/09/researchers-warn-of-mystrodx-backdoor.html
資安研究人員發現一種名為 Mystro-DX 的新型後門程式,其高度隱蔽的特性與多層加密技術使其難以被偵測。該惡意程式與一個名為 Liminal Panda 的中國駭客組織有關聯,能執行多項惡意功能,對企業資安與個人隱私構成重大威脅。