SambaCry真的來了，利用CVE-2017-7494漏洞來挖礦

兩周前我們曾經預警過一個Samba遠程代碼執行漏洞，這款漏洞能夠影響影響7年前的Samba版本，黑客可以利用漏洞進行遠程代碼執行。更多漏洞原理及利用細節可以參考我們

之前的

<點擊閱讀原文查看鏈接>

。

由於具備與永恆之藍相似的傳播性，大家調侃地模仿WannaCry病毒，把漏洞取名為SambaCry。

果然，最近兩撥研究人員紛紛表示他們發現了針對這個漏洞的攻擊。

攻擊詳情

獨立研究員Omri Ben Bassat將攻擊命名為」EternalMiner」。因為在感染linux主機後它會利用主機資源進行挖礦。

卡巴斯基的研究人員則搭建了蜜罐觀察網路環境中的SambaCry攻擊情況。

研究人員發現，一夥黑客在漏洞公布後的一周就開始攻擊Linux電腦，利用Samba漏洞入侵主機後，攻擊者會通過上傳惡意的鏈接庫文件，實現遠程代碼執行，攻擊者會安裝「升級版」CPUminer，這是一款挖礦軟體，用來挖取Monero數字貨幣。所謂的「升級」就是攻擊將參數和自己的錢包放在了軟體的硬編碼中。

漏洞檢測

為了檢測目標主機是否含有漏洞，攻擊者會進行一系列測試。首先他們會向主機寫入一個含有八個隨機符號的文本文件，以確認他們是否具有寫入許可權。

確認許可權後，他們會上傳兩個payload文件，此時攻擊者需要解決的問題是猜解文件上傳後的路徑。通過觀察蜜罐捕捉的流量，我們可以看到他們從根目錄開始猜，會用到各種配置說明書中提到的路徑。

找到路徑後，黑客就可以利用Samba漏洞執行剛才上傳的兩個payload文件了：

INAebsGB.so — 一個反彈shell

cblRWuoCc.so — 包含CPUminer 的後門軟體

INAebsGB.so

這個鏈接庫文件中包含一個非常簡單的反彈shell，它會連接到攻擊者指定的IP地址，然後反彈/bin/sh的shell。攻擊者可以藉此執行任何命令，下載運行軟體，或者刪除主機上的任何信息。

我們之前提到過

<點擊閱讀原文查看鏈接>

「通過系統中的反彈shell，黑客可以更改挖礦軟體的配置，或者安裝其他的惡意軟體。」

cblRWuoCc.so

文件的主要功能是下載執行cpuminer，其實這是由一條硬編碼的shell命令執行的，如下圖所示：

下載的文件為minerd64_s，存儲在/tmp/m目錄下。

黑客月入4萬

前文說到，攻擊者把自己的錢包地址寫在了軟體中。事實上除了錢包地址，數字貨幣池的地址(xmr.crypto-pool.fr:3333)也寫在了軟體中，這個貨幣池就是給開源貨幣monero使用的。通過這些信息，卡巴斯基的研究人員獲取到了黑客的資金收入：

根據轉賬記錄，黑客在4月30日挖到了第一筆monero貨幣。第一天他們共獲得1 XMR（約400人民幣），上個禮拜他們每天獲得5 XMR（約1625人民幣）。隨著攻陷的主機越來越多，黑客能夠賺的錢也越來越多。經過一個月他們已經獲得了98 XMR，按現在的匯率大約近4萬人民幣。

漏洞修復

Samba的維護人員已經在4.6.4/4.5.10/4.4.14版本中修復了相關漏洞。

如果暫時不能升級版本或安裝補丁，可以使用臨時解決方案：

在smb.conf的[global]板塊中添加參數：

nt pipe support = no

然後重啟smbd服務。

IoC

INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a

cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc

minerd64_s 8d8bdb58c5e57c565542040ed1988af9

*參考來源：THN，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！