埃及黑客攻破Joomla郵件服務Jmail

Joomla!是一款主流的CMS平台，被成千上萬的企業廣泛使用。過去研究人員也發現過Joomla的相關漏洞，比如CVE-2017-7985 Joomla Core序列化XSS過濾許可權提升漏洞、CVE-2015-8562 Joomla對象注入遠程代碼執行漏洞。

Check Point研究人員發現最近有攻擊者利用Joomla!郵箱服務JMail的漏洞來發起攻擊。

圖 1: Joomla漏洞統計

Jmail是Joomla的郵箱服務，允許用戶通過該平台來發送郵件。雖然該服務的初衷是發送郵件，但由於缺乏適當的安全機制，攻擊者可以濫用該服務用於釣魚、垃圾郵件活動，甚至可以在平台中應用後門基礎設施。其實在HTTP請求的User-Agent header上應用簡單的操作就可以對平台進行操作，並覆蓋現有的Jmail服務。

攻擊者Alarg53就是利用該漏洞來發送垃圾郵件來盈利。2年前，Alarg53就利用了wordpress的漏洞黑掉了斯坦福的伺服器。

攻擊流分析

利用Joomla對象注入遠程命令執行

首先，攻擊者利用了一個已知的對象注入遠程代碼執行漏洞，將代碼注入到HTTP請求中的User-Agent header域中。這裡攻擊者在User-Agent域中注入了base64編碼的字元串。

圖 2: base64解碼的PHP代碼

然後PHP代碼會下載文件並保存在指定路徑下。

解碼後，代碼會轉變成運行在受害者機器上的PHP代碼。代碼會嘗試從Pastebin下載特定的文件並保存在指定路徑下。其中一個指定路徑是./libraries/joomla/jmail.php。

但是研究人員發現一些URL已經無法訪問了。

覆蓋Joomla的Jmail服務

該文件是一個含有PHP代碼的HTML文件，該文件含有2個主要的部分，表示兩個不同的功能，分別是發送郵件和上傳文件。文件下載和保存在受害者主機後，就會覆蓋當前的Jmail服務。

圖3: 文件的mail section

圖 4: 文件的upload section

為了偽裝上傳的特徵，攻擊者使用了許多BR標籤，並放在文件的最後。

後門和釣魚基礎設施

該文件其實是攻擊者得以上傳文件和發送郵件的基礎設施。基於該攻擊者的活動分析，研究人員認為該基礎設施被用於釣魚和垃圾郵件活動。

圖 5: 攻擊者製作的釣魚頁面示例

攻擊者分析

基於這些線索，研究人員分析得出攻擊活動的幕後黑手是一名埃及黑客Alarg53。過去這些年，Alarg53員工黑掉了超過15000個網站，並將被黑的網站主頁替換成了Hacked by Alarg53標誌。最近幾年，Alarg53已經不在攻擊網站了，而是開始建立為釣魚和垃圾郵件提供服務的基礎設施。2年前，斯坦福的Biology of Aging Center被黑，Alarg53在替換了網站主頁後就上傳了2個可以發送大量垃圾郵件的PHP腳本。

圖 6: Hacked By Alarg53主頁示例

最開始的時候，Alarg53隻是做一些單純的挖洞和利用。近期，他開始通過加密貨幣挖礦和釣魚基礎設施來掙錢了。其攻擊活動影響的範圍非常大，美國、墨西哥、葡萄牙、英國、法國、日本都受到波及；受影響的行業主要有金融、銀行和政府組織。

圖 7: Alarg53活動地圖

總結

Jmail攻擊者使用Joomla對象注入漏洞成功創建了一個釣魚和垃圾郵件的基礎設施，並建立了以此為基礎的貨幣化鏈條。checkpoint研究人員預測未來會有更多這樣的垃圾郵件攻擊方法出現。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！