合恒科技(北京)有限公司
電話:010-62962822
郵箱:support@sinohh.com(微信聯(lián)系請(qǐng)掃描右方二維碼)
地址:北京市海淀區(qū)上地信息路11號(hào)彩虹大廈北樓西段205室
Imperva在上周為我們揭露了一種被命名為“RedisWannaMine”的新型加密貨幣挖礦攻擊,它將數(shù)據(jù)庫(kù)服務(wù)器以及應(yīng)用程序服務(wù)器作為攻擊對(duì)象。
近期,出現(xiàn)了大量的cryptojacking(挖礦攻擊)攻擊。據(jù)Imperva記載,該攻擊主要針對(duì)Web Applications,且近90%都采用遠(yuǎn)程代碼執(zhí)行攻擊。迄今為止,我們所經(jīng)歷過(guò)的各類攻擊的復(fù)雜性與能力都很有限。之前出現(xiàn)的包含有惡意代碼的攻擊會(huì)下載一個(gè)cryptominer可執(zhí)行文件,但一般只有基本的逃避技術(shù),甚至根本沒(méi)有逃避技術(shù)。
Imperva發(fā)現(xiàn)出現(xiàn)了一種新型cryptojacking攻擊,主要針對(duì)數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器。我們將其中一種攻擊命名為RedisWannaMine。
RedisWannaMine是一種擁有較復(fù)雜逃避技術(shù)與攻擊能力的病毒,似蠕蟲(chóng)般活動(dòng),擁有先進(jìn)的攻擊技術(shù),會(huì)提高攻擊者的病毒感染率。
利用CVE-2017-9805運(yùn)行shell命令
投下RedisWannaMine
運(yùn)行crypto miner
掃描易受攻擊的Redis服務(wù)器
投下RedisWannaMine
掃描易受攻擊的Windows SMB服務(wù)器
利用enternalBlue,投入一個(gè)crypto miner
因此,Cryptojacking攻擊力度再升級(jí)!
Cryptojacking2.0 / RedisWannaMine
Imperva部署了一系列傳感器負(fù)責(zé)收集安全情報(bào)。這些傳感器都部署在公共訪問(wèn)的數(shù)據(jù)庫(kù)與網(wǎng)絡(luò)服務(wù)器上。Imperva的Web Application傳感器還捕捉到一個(gè)有意思的遠(yuǎn)程代碼執(zhí)行(RCE)攻擊,當(dāng)時(shí)它正試圖下載一個(gè)外部源,而我們則順藤摸瓜的找到了遠(yuǎn)程主機(jī),獲取了進(jìn)一步安全信息。Imperva發(fā)現(xiàn)它試圖利用CVE-2017-9805的攻擊向量:
在探查其遠(yuǎn)程服務(wù)器時(shí),發(fā)現(xiàn)了下列可疑文件:
這份文件表中包括有已知的惡意文件,如:“minerd”,但還有許多未知可疑文件,如:“transfer.sh”。
在將“transfer.sh”提交給Virus Total后,發(fā)現(xiàn)了新發(fā)現(xiàn)的病毒,也是2018年3月5日曾首次發(fā)布且僅被10個(gè)防病毒引擎探測(cè)到過(guò)的惡意文件。
這份shell腳本文件是一個(gè)下載程序,功能與我們所知的舊版cryptojacking下載器類似:
? 會(huì)從外部源下載一個(gè)crypto miner惡意程序;
? 利用crontab中的新條目永久的存在于機(jī)器中;
? 通過(guò)/root/.ssh/authorized_keys and new entries in the system’s iptables中新的ssh密鑰條目,遠(yuǎn)程訪問(wèn)機(jī)器;
但與常見(jiàn)的下載程序不同的是,該下載程序擁有下列新功能:
自足性
該腳本會(huì)利用Linux的標(biāo)準(zhǔn)包管理器,如:“apt”及“yum”安裝各類包,確保其能夠自給自足,無(wú)需再依賴受害人設(shè)備的本地程序庫(kù)。目前我們探測(cè)到的安裝程序包包括:git, python, redis-tools, wget, gcc及 make。
Github集成
這個(gè)腳本會(huì)從Github資源庫(kù)中下載一個(gè)公用工具masscan,對(duì)其進(jìn)行編輯與安裝。
https://github.com/robertdavidgraham/masscan將其稱為“TCP端口掃描器,可異步生成最多的SYN數(shù)據(jù)包,并在5分鐘之內(nèi)掃描整個(gè)互聯(lián)網(wǎng)”。
此外,還提供了簡(jiǎn)單的用法示例:
掃描與感染Redis
該腳本隨后還會(huì)啟動(dòng)另外一個(gè)名為“redisscan.sh”的程序。該程序利用前述masscan工具,找到并感染公共Redis服務(wù)器。同時(shí)創(chuàng)建了一大批內(nèi)外IP,同時(shí)掃描6379端口(Redis的默認(rèn)端口)。
在其創(chuàng)建的IP中,只要有一個(gè)是可公共獲取的IP,則腳本就會(huì)啟動(dòng)“redisrun.sh”程序,將其植入部署有相同crypto miner惡意軟件(“transfer.sh””)的設(shè)備。通過(guò)之前安裝的下載程序redis-cli命令行工具運(yùn)行“runcmd”,即可成功感染設(shè)備。
“runcmd”是一個(gè)10行的Redis命令腳本,可在Redis服務(wù)器的crontab目錄中創(chuàng)建新條目,植入服務(wù)器,并永久的留存下來(lái),以防止有人注意到并刪除惡意軟件。
我們還發(fā)現(xiàn),攻擊者還會(huì)利用各關(guān)鍵值開(kāi)頭及末尾的換行符“\n”。如果在Redis服務(wù)器上運(yùn)行這些命令,則會(huì)創(chuàng)建一個(gè)文件,內(nèi)容如下:
掃描與感染SMB
該腳本掃描了Redis后,又啟動(dòng)另一個(gè)名為“ebscan.sh”的掃描程序。此時(shí),新程序利用masscan工具發(fā)現(xiàn)并感染了易受攻擊的SMB版公用Windows服務(wù)器。這一過(guò)程主要是通過(guò)創(chuàng)建的一大批內(nèi)外部IP,并對(duì)SMB默認(rèn)的端口445進(jìn)行掃描實(shí)現(xiàn)的。
之所以掃描的SMB漏洞是因?yàn)镹SA要利用其制作臭名昭著的“Eternal Blue”病毒,然后再利用該病毒執(zhí)行全球最大型的網(wǎng)絡(luò)攻擊“WannaCry”。
當(dāng)腳本找到一個(gè)有漏洞的服務(wù)器時(shí),會(huì)啟動(dòng)“ebrun.sh”并將其感染。
“ebrun.sh“在前述“Eternal Blue”漏洞中運(yùn)行Python,然后再向有漏洞的設(shè)備投入“x64.bin“文件。
我們利用strings命令打印了文件中可打印字符的所有字串,并發(fā)現(xiàn)了一個(gè)能夠創(chuàng)建惡意VBScript的文件,名為“poc.vbs”。
運(yùn)行該文件后發(fā)現(xiàn),“poc.vbs”會(huì)下載一個(gè)可執(zhí)行文件,并在外部運(yùn)行該文件,即:以“admissioninit.exe”的形式留存在易受攻擊的服務(wù)器中,并運(yùn)行。而admissioninit.exe就是那個(gè)大名鼎鼎的crypto miner惡意軟件。
該如何應(yīng)對(duì)這種攻擊呢?
保護(hù)web applications與數(shù)據(jù)庫(kù)。初始攻擊都是通過(guò)web applications漏洞進(jìn)入的。因此需要使用打過(guò)補(bǔ)丁的應(yīng)用,或受WAF保護(hù)的應(yīng)用程序就安全了。
請(qǐng)不要將Redis服務(wù)器設(shè)置為公共可用。這個(gè)只要用簡(jiǎn)單的防火墻規(guī)則設(shè)置即可。
請(qǐng)不要使用易受攻擊的SMB版本設(shè)備。
合恒科技(北京)有限公司
電話:010-62962822
郵箱:support@sinohh.com(微信聯(lián)系請(qǐng)掃描右方二維碼)
地址:北京市海淀區(qū)上地信息路11號(hào)彩虹大廈北樓西段205室
合恒科技(北京)有限公司版權(quán)所有 京ICP備09050970號(hào)-1