# 剖析Ivanti EPMM休眠后门:持久化机制与零信任检测盲区 > 深度解析Ivanti EPMM CVE-2025-4427/4428漏洞利用链,揭示攻击者如何在Tomcat中植入休眠监听器后门,以及在零信任架构下的隐蔽检测挑战与可落地检测参数。 ## 元数据 - 路径: /posts/2026/02/10/ivanti-epmm-sleeper-backdoors-persistence-zero-trust-detection/ - 发布时间: 2026-02-10T04:16:02+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 企业移动管理(EMM)平台作为连接企业内网与移动设备的枢纽,历来是高级持续性威胁(APT)的重点关照对象。Ivanti Endpoint Manager Mobile(EPMM)近期爆发的CVE-2025-4427与CVE-2025-4428漏洞链,展示了攻击者如何通过认证绕过配合表达式语言(EL)注入实现未授权远程代码执行,并在系统中植入具备休眠特性的后门监听器,实现长期、隐蔽的权限维持。 ## 漏洞利用链与初始入侵 攻击者首先利用CVE-2025-4427(CVSS 7.5)绕过认证,该漏洞允许未授权用户向特定API端点发送构造请求,使系统将其误判为合法登录会话。随后,通过CVE-2025-4428(CVSS 8.8)的EL表达式注入,在`/mifs/rs/api/v2/`端点执行任意代码。这一组合将本应锁定的管理中枢转化为开放入口,攻击者得以在暴露于公网的EPMM服务器上部署初始载荷。 实战中,攻击者利用该链向服务器写入名为`web-install.jar`的加载器文件,存放于`/tmp`目录。该JAR文件通过伪装成`org.apache.http`或`com.mobileiron.service`等合法Tomcat类包,降低被运维人员发现的风险。 ## 休眠后门的加载与持久化机制 CISA分析的恶意软件样本揭示了两套技术路线,均遵循"加载器+恶意监听器"的设计范式。第一套方案以`ReflectUtil.class`为核心控制器,通过反射编程绕过JDK模块限制,将`SecurityHandlerWanListener.class`注入Tomcat的请求处理管道。该监听器并非持续活跃,而是处于休眠状态,仅在检测到特定HTTP请求条件——包括唯一的通行字符串(pass string)和特定Referer头——时才会激活。这种条件触发机制使后门能够在绝大多数时间内保持静默,规避基于流量频率的异常检测。 第二套方案则更为精简,通过`WebAndroidAppInstaller.class`监听Content-Type为`application/x-www-form-urlencoded`的请求,从请求体中提取名为`password`的参数。该参数经Base64解码后,使用硬编码AES密钥`3c6e0b8a9c15224a`解密,最终加载并内存执行新生成的Java类。输出数据同样经AES加密和Base64编码后返回,形成双向加密通信通道。 持久化方面,后门利用Tomcat的Valve机制将自身嵌入请求处理链。由于监听器以内存字节码形式存在,即使管理员删除磁盘上的JAR文件,`ReflectUtil`仍可通过解码内置的Base64字符串、解压缩并反射加载的方式重建监听器。这意味着常规的文件完整性监控(FIM)无法根除威胁,服务重启后后门仍可自我恢复。 ## 零信任架构下的隐蔽性挑战 零信任架构的核心假设是"永不信任,始终验证",依赖设备身份、用户行为、流量模式等多维度信号进行动态授权。然而,Ivanti EPMM休眠后门的设计恰好针对这些检测维度形成绕过。 首先,后门完全驻留于Java虚拟机内存,不落地磁盘,传统的端点检测与响应(EDR)和杀毒软件基于文件签名的扫描机制难以发现。其次,恶意流量伪装成正常的API请求,使用与合法管理操作相同的端口和协议,基于网络边界的流量分析很难区分 benign 与 malicious 请求。再者,由于后门复用Ivanti EPMM自身的Tomcat进程执行代码,进程指纹和内存特征与正常服务高度重合,行为分析引擎容易将其误判为系统正常活动。 在零信任环境中,EPMM通常被赋予高权限以管理移动设备策略,这意味着一旦平台本身被攻破,攻击者可借助合法的设备管理通道向数千台移动设备分发恶意配置或应用,实现横向移动。后门休眠特性进一步降低了被行为分析模型标记的概率,使得威胁可能在环境中潜伏数月而不被发现。 ## 可落地的检测参数与响应清单 针对此类高级威胁,防御方需调整检测策略,从依赖静态签名转向关注运行时异常和内存行为。 **监控指标建议:** - **日志模式**:监控Apache访问日志中针对`/mifs/c/(aft|app)store/fob/`路径的404响应,以及`/mifs/rs/api/v2/featureusage`端点的异常POST请求,这些可能是漏洞利用初期的探测痕迹。 - **进程内存**:使用JVM内存分析工具定期扫描Tomcat进程的类加载器,查找非标准路径加载的类或异常的`org.apache.catalina.Valve`实现。 - **网络流量**:关注包含高强度加密特征(如固定长度Base64载荷)的HTTP请求体,特别是非业务高峰期的管理API调用。 - **文件系统**:监控`/tmp`目录下短暂存在的JAR文件,以及`/mi/tomcat/webapps/mifs/`路径下的可疑JSP文件(如`401.jsp`、`session.jsp`或伪装成CSS文件的脚本)。 **事件响应清单:** 1. **隔离与取证**:立即将受影响的EPMM服务器从网络隔离,捕获内存镜像以提取恶意类字节码,避免直接重启导致内存证据丢失。 2. **补丁与升级**:升级至12.5.0.1或12.8.0.0以上版本,修复漏洞链。 3. **密钥轮换**:由于后门可能已窃取管理员凭据和设备证书,需全面轮换EPMM管理员密码、API密钥及受管设备的MDM证书。 4. **备份验证**:从已知干净的备份恢复系统,而非直接清理受感染实例,确保不继承隐藏的持久化机制。 ## 结论 Ivanti EPMM休眠后门案例表明,针对关键基础设施的APT攻击正朝着更隐蔽、更持久化的方向发展。攻击者不再满足于简单的Web Shell,而是深入应用容器内部,利用框架自身的扩展机制实现无文件、内存驻留的恶意代码执行。在零信任架构下,这种与合法服务深度耦合的威胁对传统检测体系构成严峻挑战。防御方必须建立覆盖内存、运行时行为和加密流量分析的多层次检测能力,同时缩短从漏洞披露到补丁部署的时间窗口,才能有效遏制此类高级威胁的蔓延。 --- **资料来源:** - CISA Analysis Report AR25-261A: Malicious Listener for Ivanti Endpoint Mobile Management Systems - Picus Security: Malicious Listeners in Ivanti EPMM: How CVE-2025-4427 and CVE-2025-4428 Created Backdoors ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。