新的挖礦攻擊再次利用永恆之藍漏洞感染伺服器

「用指尖改變世界」

數據安全公司Imperva在上周四為我們揭露了一種被命名為「RedisWannaMine」的新型加密貨幣挖礦攻擊，它將資料庫伺服器以及應用程序伺服器作為了攻擊對象。

Imperva公司表示，迄今為止已經有許多挖礦攻擊被記錄在案，但這些攻擊通常表現為相對簡單，在複雜程度和攻擊能力上普遍都有所限制。但新發現的RedisWannaMine攻擊無論在逃避技巧還是攻擊能力方面都表現得更為複雜。它展現出了類似蠕蟲的行為，並結合了高級攻擊技術，以增加對目標伺服器感染的成功率。

在上周， Imperva公司通過其部署的感測器網路監測到了一起試圖嘗試下載外部資源的遠程代碼執行(RCE)攻擊活動。攻擊利用了Apache Struts漏洞CVE-2017-9805，這是一個在去年公開披露的遠程代碼執行漏洞，通過XStream處理程序影響Struts REST插件。如果被成功利用，將允許攻擊者能夠在應用伺服器上遠程執行任意代碼，而無需身份驗證。

在探測目標伺服器時，Imperva公司發現了一系列可疑文件：

該列表包括已知的惡意文件，如minerd;但也包括一些未知的可疑文件，如transfer.sh。

Imperva公司將transfer.sh的哈希校驗碼提交到了VirusTotal網站進行解析。結果顯示，這是一個相對較新的惡意文件，首次提交是在2018年3月6日且僅被10個防病毒引擎檢測出來。

回到被監測到的遠程代碼執行(RCE)攻擊活動。攻擊中的shell腳本文件是一個下載程序，它在某些方面類似於我們所知的較老的加密下載程序，這表現為：

從外部位置下載加密貨幣礦工惡意軟體;

通過crontab中的新伺服器條目獲得持久性;

通過授權密鑰扇區中的新SSH密鑰條目以及系統的iptables獲得對受害機器的遠程訪問。

但Imperva公司表示，這個shell腳本並不與他們之前看到的任何下載程序相同。相對其他下載程序，它具備更多的新功能。

該腳本使用類似Apt和Yum這樣的Linux標準軟體包管理器安裝了大量軟體包(如Git、Python、Redis-tools、Wget、Gcc和Make等)，這很可能是為了確保「自給自足」，從而不需要依賴受害者設備中的軟體庫。

另外，該腳本還從Github存儲庫下載了一個名為「Masscan」的公共可用工具，然後編譯並安裝它。Masscan被描述為「最快的互聯網埠掃描器」， 它可以在6分鐘內掃描整個互聯網，每秒發送1000萬個數據包。

在完成下載後，該腳本啟動一個名為「 redisscan.sh 」的進程。而這個進程則會使用上述的Masscan工具來發現並感染在線暴露Redis伺服器。

在腳本完成了針對Redis伺服器的掃描後，它會啟動另一個名為「 ebscan.sh 」的掃描進程。這個進程同樣會使用Masscan工具來發現並感染在線暴露的伺服器，不同的是，它所針對的對像是那些在線暴露且易受「永恆之藍(EternalBlue)」漏洞影響的Windows伺服器。

EternalBlue(CVE-2017-0144)原本來自美國國家安全局(NSA)，在去年4份被黑客組織 「 Shadow Brokers 」(影子經紀人)公開披露，並在WannaCry、Petya、NotPetya以及其他一些惡意軟體的傳播中被利用。

在腳本找到易受攻擊的伺服器時，它會啟動「 ebrun.sh」以運行能夠觸發EternalBlue漏洞的Python代碼。該代碼會創建一個名為「 poc.vbs 」 的惡意VBScript文件並運行它，而這個VBScript文件則將從外部位置下載並運行可執行文件 「 admissioninit.exe 」 。眾所周知，這是一個加密貨幣礦工惡意軟體。

雖然Imperva公司並沒有在文章中透露攻擊的規模，以及哪些系統可能遭到利用。但是它強調了這樣一個事實，如果IT管理員沒有針對某些眾所周知的漏洞進行補丁安裝，那麼隨時可能將網路攻擊帶到自己的身邊。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！