休眠后门：Ivanti EPMM 漏洞攻击分析

摘要

本文分析了针对 Ivanti Endpoint Manager Mobile 的新型攻击活动。攻击者利用 CVE-2026-1281 和 CVE-2026-1340 漏洞，在 /mifs/403.jsp 路径部署基于 Java 的内存类加载器作为休眠后门。该植入物仅在收到特定参数时激活，建立访问权限后保持静默，体现了初始访问代理的典型特征——建立立足点后等待后续利用或转售。

内容框架与概述

文章首先介绍了 Ivanti EPMM 披露的两个关键漏洞及其被广泛利用的背景，指出大多数早期活动属于机会主义的扫描和常规 Webshell 投放。随后深入分析了一种不同寻常的攻击模式：攻击者部署了名为 base.Info 的 Java 类加载器，该植入物不提供即时交互能力，而是作为第二阶段载荷的接收器静默等待激活。

技术层面，文章详细解析了类加载器的工作机制，包括使用 equals 方法作为入口点、特定的触发参数名、Base64 解码流程以及内存中类加载的实现方式。攻击者还收集目标环境信息用于后续定向利用。防御层面，文章强调了休眠后门的危险性：缺乏后续活动并不意味着威胁不存在，建议立即打补丁、重启服务器并审查日志中的特定指标。

核心概念及解读

休眠后门（Sleeper Shell）：攻击者植入的持久性载荷，在建立访问权限后保持静默状态，等待特定触发条件才激活执行，避免过早暴露。

内存类加载器（In-Memory Class Loader）：不将载荷写入磁盘，而是直接在内存中加载和执行 Java 字节码的恶意工具，可规避传统基于文件的检测。

初始访问代理（Initial Access Broker, IAB）：专门获取并验证目标网络访问权限，随后将其出售或转交给其他攻击者的网络犯罪角色。

Java CAFEBABE：Java 字节码文件的魔数（magic number），用于标识有效的 Java 类文件格式，攻击者通过 Base64 编码该魔数作为载荷特征。

原文信息

此摘要卡片由 AI 自动生成