NAS設備面臨新威脅:SambaCry安全漏洞引入後門
E安全7月20日訊 部分惡意人士正在利用SambaCry漏洞在運行有舊版本Samba文件共享伺服器的Linux設備上安裝後門木馬。
根據Trend Micro公司的專家們所言,其中大多數攻擊活動皆指向網路附加存儲(簡稱NAS)設備,部分此類設備確實安裝有Samba伺服器以實現不同操作系統之間的文件共享及互操作能力。
E安全百科:
Samba文件共享伺服器是一款基於SMB協議並由服務端和客戶端組成的開源文件共享軟體,以實現Linux與Windows系統間的文件共享。
早期網路想要在不同主機之間共享文件大多要用FTP協議來傳輸,但FTP協議僅能做到傳輸文件卻不能直接修改對方主機的資料數據,很不方便。後來出現了NFS開源文件共享程序NFS,但這是一個能夠將多台Linux的遠程主機數據掛載到本地目錄的服務,屬於輕量級的文件共享服務,不支持Linux與
Windows系統間的文件共享。直到1991年大學生Tridgwell為了解決Linux與Windows系統之間共享文件的問題,便開發出了SMB協議與Samba服務程序。
影響七年以來的Samba軟體版本
被研究人員們稱為SHELLBIND的惡意軟體利用一項披露於2017年5月,名為SambaCry(亦稱『永恆之紅』)的安全漏洞。
SambaCry,編號CVE-2017-7494,影響到過去七年以來發布的全部Samba軟體版本,其中最低受影響版本為3.5.0。
就在Samba團隊為其軟體提供補丁並將安全漏洞細節信息公之於眾的兩周之後,有人開始利用SambaCry感染Linux伺服器並向其中安裝一款名為EternalMiner的加密貨幣採礦程序。
SHELLBIND在埠61422上開啟後門
上個月,EternalMiner的散布活動仍在進行當中,不過Trend Micro公司今天發布了一份報告,指出SHELLBIND開始成為SambaCry漏洞利用當中的最新攻擊載荷。
據研究人員所言,SHELLBIND是一款簡單的後門木馬,允許攻擊者在受感染設備之上開啟遠程shell。
根據配置,該木馬能夠更改本地防火牆規則並打開TCP埠61422,這意味著攻擊者可以藉此接入受感染設備。
SHELLBIND則會通過埠80 ping通一台位於169.239.128.123(南非的IP地址)的伺服器,藉以通知攻擊者已經有新設備被成功感染,攻擊者則從伺服器日誌當中提取新IP,而後手動通過埠61422接入該受感染主機。
SHELLBIND的shell訪問受到密碼保護。該密碼以硬編碼形式嵌於該木馬的代碼當中,具體內容為「Q8pGZFS7N1MObJHf」。
SHELLBIND很可能被用於竊取數據
相較於主要針對Linux伺服器的EternalMiner,SHELLBIND的目標則更多指向NAS設備,但其也能夠感染運行有其它漏泄Samba版本的物聯網設備。
根據該惡意軟體的特性以及針對性攻擊的表現,目前基本可以斷定,威脅操縱者正在竊取數據並很可能通過地下黑客論壇銷售或要求受害者企業支付贖金以獲利。
另外,這已經不是NAS設備受到影響的首次案例。
2017年,安全研究人員季諾菲克斯發現了數個能夠影響西部數據多款MyCloud NAS設備的安全漏洞。
2016年9月,一款名為Mal/Miner-C的惡意軟體變種(亦被稱為PhotoMiner)成功感染了希捷NAS設備,並利用其進行加密貨幣Monero採礦。
原文地址:https://www.easyaq.com/news/1289228129.shtml
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」 查看更多精彩內容。
※50秒!通過計算機電磁輻射提取"AES 256"加密密鑰
※美國近期將公布拆分網路司令部與NSA計劃
※安全專家通過計算機電磁輻射提取"AES 256"加密密鑰
※美眾議院《國防授權法案》新增網路安全修訂案
TAG:E安全 |
※BAPE迷彩地位受威脅?Supply x Vans全新Chima Pro 2鞋款本周發售!
※NSA威脅檢測Sharkseer計劃即將轉移
※朴智旻再次受到殺害威脅&WANNA·ONE成員Character來襲&AOA預告照再公開!
※朴智旻再次受到殺害威脅&WANNA·ONE成員Character來襲
※Harpoon:OSINT威脅情報工具
※安全防護升級,英特爾推出新的威脅檢測和Security Essentials兩項新技術
※新興IT威脅終結者Karsten Nohl將亮相CSS2018 公開分享基礎設施安全最新研究成果
※VMware推出VMware Kubernetes Engine:市場威脅下的防衛舉措?
※RSA收購內部威脅檢測初創公司Fortscale
※Memcached反射放大DDoS攻擊威脅分析
※威脅警報:Cisco ASA安全產品拒絕服務漏洞分析
※用戶稱 iCloud 遭蘋果工作人員入侵併遭威脅;保時捷發布 Mission E 跨界電動 SUV:零百3.5秒
※G2開始在MSI賽前說騷話了:阿P認為TheShy的威脅遠超Faker?
※DeepFakes或將成為人類安全的新威脅
※早報 | 用戶稱 iCloud 遭蘋果工作人員入侵併遭威脅;保時捷發布 Mission E 跨界電動 SUV:零百3.5秒
※GoFlex家庭網路存儲設備受XSS和MitM攻擊威脅 暴雪遊戲存在嚴重漏洞
※5億電腦面臨安全威脅,微軟正在調查影響Windows安全的CFG繞過漏洞
※解說Clement評價LCK隊伍:AFS最弱,Gen.G威脅最大,KT虛有其表
※AT&T計劃收購AlienVault,加強網路威脅檢測與響應服務
※未來是顯示卡幫電腦掃毒,Intel 發布 Threat Detection Technology 威脅偵測技術