NAS設備面臨新威脅：SambaCry安全漏洞引入後門

E安全7月20日訊 部分惡意人士正在利用SambaCry漏洞在運行有舊版本Samba文件共享伺服器的Linux設備上安裝後門木馬。

根據Trend Micro公司的專家們所言，其中大多數攻擊活動皆指向網路附加存儲（簡稱NAS）設備，部分此類設備確實安裝有Samba伺服器以實現不同操作系統之間的文件共享及互操作能力。

E安全百科：

Samba文件共享伺服器是一款基於SMB協議並由服務端和客戶端組成的開源文件共享軟體，以實現Linux與Windows系統間的文件共享。

早期網路想要在不同主機之間共享文件大多要用FTP協議來傳輸，但FTP協議僅能做到傳輸文件卻不能直接修改對方主機的資料數據，很不方便。後來出現了NFS開源文件共享程序NFS，但這是一個能夠將多台Linux的遠程主機數據掛載到本地目錄的服務，屬於輕量級的文件共享服務，不支持Linux與

Windows系統間的文件共享。直到1991年大學生Tridgwell為了解決Linux與Windows系統之間共享文件的問題，便開發出了SMB協議與Samba服務程序。

影響七年以來的Samba軟體版本

被研究人員們稱為SHELLBIND的惡意軟體利用一項披露於2017年5月，名為SambaCry（亦稱『永恆之紅』）的安全漏洞。

SambaCry，編號CVE-2017-7494，影響到過去七年以來發布的全部Samba軟體版本，其中最低受影響版本為3.5.0。

就在Samba團隊為其軟體提供補丁並將安全漏洞細節信息公之於眾的兩周之後，有人開始利用SambaCry感染Linux伺服器並向其中安裝一款名為EternalMiner的加密貨幣採礦程序。

SHELLBIND在埠61422上開啟後門

上個月，EternalMiner的散布活動仍在進行當中，不過Trend Micro公司今天發布了一份報告，指出SHELLBIND開始成為SambaCry漏洞利用當中的最新攻擊載荷。

據研究人員所言，SHELLBIND是一款簡單的後門木馬，允許攻擊者在受感染設備之上開啟遠程shell。

根據配置，該木馬能夠更改本地防火牆規則並打開TCP埠61422，這意味著攻擊者可以藉此接入受感染設備。

SHELLBIND則會通過埠80 ping通一台位於169.239.128.123（南非的IP地址）的伺服器，藉以通知攻擊者已經有新設備被成功感染，攻擊者則從伺服器日誌當中提取新IP，而後手動通過埠61422接入該受感染主機。

SHELLBIND的shell訪問受到密碼保護。該密碼以硬編碼形式嵌於該木馬的代碼當中，具體內容為「Q8pGZFS7N1MObJHf」。

SHELLBIND很可能被用於竊取數據

相較於主要針對Linux伺服器的EternalMiner，SHELLBIND的目標則更多指向NAS設備，但其也能夠感染運行有其它漏泄Samba版本的物聯網設備。

根據該惡意軟體的特性以及針對性攻擊的表現，目前基本可以斷定，威脅操縱者正在竊取數據並很可能通過地下黑客論壇銷售或要求受害者企業支付贖金以獲利。

另外，這已經不是NAS設備受到影響的首次案例。

2017年，安全研究人員季諾菲克斯發現了數個能夠影響西部數據多款MyCloud NAS設備的安全漏洞。

2016年9月，一款名為Mal/Miner-C的惡意軟體變種（亦被稱為PhotoMiner）成功感染了希捷NAS設備，並利用其進行加密貨幣Monero採礦。

原文地址：https://www.easyaq.com/news/1289228129.shtml

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！