新闻快讯
< >

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器

 新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

数据安全公司Imperva在上周四为我们揭露了一种被命名为“RedisWannaMine”的新型加密货币挖矿攻击,它将数据库服务器以及应用程序服务器作为了攻击对象。

Imperva公司表示,迄今为止已经有许多挖矿攻击被记录在案,但这些攻击通常表现为相对简单,在复杂程度和攻击能力上普遍都有所限制。但新发现的RedisWannaMine攻击无论在逃避技巧还是攻击能力方面都表现得更为复杂。它展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率。

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

在上周,Imperva公司通过其部署的传感器网络监测到了一起试图尝试下载外部资源的远程代码执行(RCE)攻击活动。攻击利用了Apache Struts漏洞CVE-2017-9805,这是一个在去年公开披露的远程代码执行漏洞,通过XStream处理程序影响Struts REST插件。如果被成功利用,将允许攻击者能够在应用服务器上远程执行任意代码,而无需身份验证。

在探测目标服务器时,Imperva公司发现了一系列可疑文件:

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

该列表包括已知的恶意文件,如minerd;但也包括一些未知的可疑文件,如transfer.sh。

Imperva公司将transfer.sh的哈希校验码提交到了VirusTotal网站进行解析。结果显示,这是一个相对较新的恶意文件,首次提交是在2018年3月6日且仅被10个防病毒引擎检测出来。

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

回到被监测到的远程代码执行(RCE)攻击活动。攻击中的shell脚本文件是一个下载程序,它在某些方面类似于我们所知的较老的加密下载程序,这表现为:

  • 从外部位置下载加密货币矿工恶意软件;

  • 通过crontab中的新服务器条目获得持久性;

  • 通过授权密钥扇区中的新SSH密钥条目以及系统的iptables获得对受害机器的远程访问。

但Imperva公司表示,这个shell脚本并不与他们之前看到的任何下载程序相同。相对其他下载程序,它具备更多的新功能。

该脚本使用类似Apt和Yum这样的Linux标准软件包管理器安装了大量软件包(如Git、Python、Redis-tools、Wget、Gcc和Make等),这很可能是为了确保“自给自足”,从而不需要依赖受害者设备中的软件库。

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

另外,该脚本还从Github存储库下载了一个名为“Masscan”的公共可用工具,然后编译并安装它。Masscan被描述为“最快的互联网端口扫描器”, 它可以在6分钟内扫描整个互联网,每秒发送1000万个数据包。

新的挖矿攻击再次利用永恒之蓝(EternalBlue)漏洞感染服务器-E安全

在完成下载后,该脚本启动一个名为“ redisscan.sh ”的进程。而这个进程则会使用上述的Masscan工具来发现并感染在线暴露Redis服务器。

在脚本完成了针对Redis服务器的扫描后,它会启动另一个名为“ ebscan.sh ”的扫描进程。这个进程同样会使用Masscan工具来发现并感染在线暴露的服务器,不同的是,它所针对的对像是那些在线暴露且易受“永恒之蓝(EternalBlue)”漏洞影响的Windows服务器。

EternalBlue(CVE-2017-0144)原本来自美国国家安全局(NSA),在去年4份被黑客组织 “ Shadow Brokers ”(影子经纪人)公开披露,并在WannaCry、Petya、NotPetya以及其他一些恶意软件的传播中被利用。

在脚本找到易受攻击的服务器时,它会启动“ ebrun.sh”以运行能够触发EternalBlue漏洞的Python代码。该代码会创建一个名为“ poc.vbs ” 的恶意VBScript文件并运行它,而这个VBScript文件则将从外部位置下载并运行可执行文件 “ admissioninit.exe ” 。众所周知,这是一个加密货币矿工恶意软件。

虽然Imperva公司并没有在文章中透露攻击的规模,以及哪些系统可能遭到利用。但是它强调了这样一个事实,如果IT管理员没有针对某些众所周知的漏洞进行补丁安装,那么随时可能将网络攻击带到自己的身边。