Drupal漏洞被利用來傳播門羅幣挖掘惡意軟體

防不住了嗎，關注奇速盾

GIF

最近有一系列利用CVE-2018-7602開展的網路攻擊，這是Drupal內容管理框架中的一個安全漏洞。

目前，這些攻擊旨在將受影響的系統變成門羅幣挖礦bot。值得注意的是攻擊隱藏在Tor網路後面以逃避檢測的方式，以及如何在用加密貨幣挖掘惡意軟體感染目標系統之前首先完成對系統的檢查。雖然這些攻擊目前只提供了資源竊取和導致系統性能降低的惡意軟體，但該漏洞也可用作其他威脅的入口。

壹

什麼是CVE-2018-7602？

Drupal誕生於2000年，是一個基於PHP語言編寫的開發型CMF（內容管理框架），即：CMS+ framework。其中 framework是指Drupal內核中的功能強大的PHP類庫和PHP函數庫，以及在此基礎上抽象的Drupal API，在業界廣泛使用。

而CVE-2018-7602是影響Drupal的版本7和版本8一個遠程代碼執行（RCE）漏洞，該漏洞在2018年4月25日被修復。

它是在Drupal的安全團隊觀察到另一個漏洞後發現的， CVE-2018-7600（也被稱為 Drupalgeddon 2，在2018年3月28日被修復）。Drupal的安全團隊還報告稱，CVE-2018-7602正在被廣泛利用。根據一名研究人員的技術分析，成功利用漏洞需要提升修改或刪除Drupal運行網站內容的許可權。

貳

這個漏洞如何傳播門羅幣礦工？

如圖1和圖2所示，我們看到利用CVE-2018-7602的攻擊下載了一個shell腳本，該腳本隨後將檢索一個基於可執行和可鏈接格式（ELF）的下載程序（由趨勢科技檢測為ELF_DLOADR.DHG）。

如圖3所示，下載器將添加一個 crontab條目（在基於unix的系統中，它包含要執行的命令）來自動更新自身。

在本例中，命令是檢查從它下載的鏈接，並解釋一個名為 up.jpg的腳本，該腳本偽裝成JPEG文件。基於ELF的下載程序還會檢索門羅幣挖掘惡意軟體（COINMINER_TOOLXMR.O-ELF64），並將其安裝到受影響的設備上。

圖1：顯示如何利用CVE-2018-7602的代碼片段

圖2：顯示如何檢索shell腳本的代碼片段

圖3：惡意軟體添加的自動更新自身的crontab條目

叄

是什麼使這些攻擊值得注意？

下載器使用HTTP 1.0 POST方法在 SEND_DATA()函數中返回數據。POST方法的目標路徑是 /drupal/df.php。

在這些類型的攻擊中，HTTP 1.0流量非常少見，因為許多組織的大多數HTTP流量已經在HTTP 1.1或更高版本中。鑒於這種看似不一致的情況，我們可以預見這是未來攻擊的一種模式。

圖4：下載器的SEND_DATA()函數的彙編代碼

安裝在設備上的門羅幣礦工是開源的XMRig（版本2.6.3）。它還會檢查設備是否被損壞。當礦工開始運行時，它將其進程名稱更改為[^ $ I $ ^]並訪問文件/tmp/dvir.pid。

圖6顯示了這種暗地裡進行的行為，攻擊者/操作人員在其修改版本的XMRig中添加了這種行為。管理員或信息安全專業人員可以考慮將其作為識別惡意活動的一個標記，例如部署基於主機的入侵檢測和預防系統或執行取證時。

圖5：加密貨幣挖掘惡意軟體中包含的XMRig的部分

圖6：門羅幣礦工main()函數的逆向的偽代碼

肆

這些攻擊來自哪裡？

這些攻擊是值得注意的，因為它們採取的防範措施是隱藏在Tor網路後面。這使得研究人員能夠追蹤惡意軟體的蹤跡到197[.]231[.]221[.]211。

基於WhoIs信息，IP段197[.]231[.]221[.]0[/]24似乎屬於虛擬專用網路（VPN）提供商。另外，研究人員還發現IP地址是一個Tor出口節點——將加密的Tor流量傳遞到常規的互聯網流量的網關。

事實上，在過去一個月里，研究人員已經阻止了來自此IP地址的810次攻擊。鑒於它是一個Tor出口節點，研究人員表示他們無法確定這些攻擊是與門羅幣挖掘有效載荷相關，還是來自單個威脅參與者。

來自此IP地址的大量攻擊都利用了Heartbleed（CVE-2014-0160）。研究人員觀察到其他攻擊利用了ShellShock（CVE-2014-6271）， WEB GoAhead的一個信息泄露漏洞（CVE-2017-5674），以及Apache的內存泄漏漏洞（CVE-2004-0113）。研究人員還阻止來自此IP地址的文件傳輸協議（FTP）和安全外殼（SSH）蠻力登錄。

請注意，這些攻擊甚至利用了舊的Linux或基於Unix的漏洞，強調了縱深防禦的重要性。對於那些Web應用程序和網站（如使用Drupal的網站）來管理敏感數據和交易的企業來說，情況尤其如此。即使是一個可以追溯到2014年的安全漏洞，也可以作為攻擊者的切入點。

超級科技建議這樣抵禦威脅：

修補和更新Drupal內核可修復此威脅所利用的漏洞。Drupal的安全公告提供了修復漏洞的指導方針，特別是那些仍然使用不受支持版本的Drupal的用戶。

開發人員，以及系統管理員和信息安全專業人員也應該通過設計實踐安全性：確保存儲和管理個人和企業數據的應用程序的安全性，同時確保其易用性和功能性。

網站或應用程序中的單個漏洞可能導致數據泄露或中斷。組織可以通過縱深防禦來進一步阻止類似威脅：執行最小特權原則並添加多個安全層，例如虛擬補丁、防火牆、入侵檢測和預防系統，以及應用程序控制和行為監控。

——超級科技

QSY

· 技術大牛都在這裡 ·

Hi，我是奇速盾

從現在開始

我的每一句話都是認真的

如果，你被攻擊了

別打110、119、120

來這裡看著就行

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！