在上周发表的一篇博文中,趋势科技指出,其安全团队最近观察到一系列使用CVE-2018-7602的网络攻击,这是Drupal内容管理框架中的一个安全漏洞。目前,这些攻击旨在将受影响的系统变成Monroe coin mining bot。值得注意的是攻击隐藏在Tor网络背后躲避检测的方式,以及如何在挖掘带有加密货币的恶意软件之前检查目标系统。虽然这些攻击目前只提供窃取资源、降低系统性能的恶意软件,但是这个漏洞也可以作为其他威胁的入口。
什么是CVE-2018-7602?
CVE-2018-7602是一个影响Drupal版本7和8的远程代码执行(RCE)漏洞。该漏洞已于2018年4月25日修复。它是在Drupal的安全团队观察到另一个漏洞CVE-2018-7600(也称为Drupalgeddon 2,已于2018年3月28日修复)后发现的。Drupal的安全团队还报告称,CVE-2018-7602正在被广泛使用。根据研究人员的技术分析,成功利用该漏洞需要提升修改或删除Drupal网站内容的权限。
这个漏洞如何传播门罗币矿工?
如图1和图2所示,我们看到CVE-2018-7602的攻击下载了一个shell脚本,该脚本随后会检索一个基于可执行可链接格式(ELF)的下载程序(被趋势科技检测为ELF_DLOADR。DHG)。如图3所示,下载程序将添加一个crontab条目(在基于unix的系统中,它包含要执行的命令)来自动更新自身。在这个例子中,命令是检查从它下载的链接,并解释一个名为up.jpg的脚本,它伪装成JPEG文件。基于ELF的下载程序还将检索Monroe Coin mining恶意软件(COINMINER_TOOLXMR。O-ELF64)并将其安装在受影响的设备上。
图1:显示如何使用CVE-2018-7602的代码片段
图2:显示如何检索shell脚本的代码片段
图3:自动更新自身的恶意软件添加的crontab条目
是什么使这些攻击值得注意?
下载器使用HTTP 1.0 POST方法在SEND_DATA()函数中返回数据。POST方法的目标路径是/drupal/df.php,在这些类型的攻击中,HTTP 1.0流量是非常少见的,因为很多组织的大部分HTTP流量已经在HTTP 1.1或更高版本了。鉴于这种看似不一致的情况,我们可以预见这是未来攻击的一种模式。
图4:下载器的SEND_DATA()函数的汇编代码
设备上安装的门罗币矿工是开源的XMRig(版本2.6.3)。它还会检查设备是否损坏。当miner开始运行时,它将其进程名称更改为[^ $ I $ ^]并访问文件/tmp/dvir.pid。图6显示了这种隐蔽行为,这是攻击者/操作员在其XMRig的修改版本中添加的。管理员或信息安全专业人员可以将其视为识别恶意活动的标志,例如在部署基于主机的入侵检测和防御系统或执行取证时。
图5:加密货币挖掘恶意软件中包含的XMRig的一部分
图6:门罗币矿工main()的反函数伪代码。
这些攻击来自哪里?
这些攻击值得注意,因为它们采取的预防措施隐藏在Tor网络的背后。这使趋势科技能够跟踪恶意软件到197[。]231[.]221[.]211.根据WhoIs信息,IP段197[。]231[.]221[.]0[/]24似乎属于虚拟专用网络(VPN)提供商。此外,趋势科技还发现该IP地址是一个Tor出口节点——将加密的Tor流量传送到常规互联网流量的网关。
事实上,在过去的一个月中,趋势科技已经阻止了来自该IP地址的810次攻击。鉴于这是一个Tor导出节点,趋势科技表示,他们无法确定这些攻击是否与Monroe Coin mining有效载荷有关,或者来自单个威胁参与者。Heartbleed(CVE-2014-0160)已被来自该IP地址的大量攻击利用。研究人员观察到,其他攻击利用了ShellShock(CVE-2014-6271),WEB GoAhead的信息泄露漏洞(CVE-2017-5674),以及Apache的内存泄露漏洞(CVE-2004-0113)。趋势科技还会阻止从该IP地址进行文件传输协议(FTP)和安全外壳(SSH)暴力登录。请注意,这些攻击甚至利用了旧的基于Linux或Unix的漏洞,强调了深度防御的重要性。对于那些使用Web应用程序和网站(比如那些使用Drupal的)来管理敏感数据和事务的企业来说尤其如此。甚至一个可以追溯到2014年的安全漏洞都可以作为攻击者的切入点。
图7:197的TOR出口节点信息。] 231 [.] 221 [.] 211 (2018/06/16)
如何抵御这种威胁?
修补和更新Drupal内核可以修复被该威胁利用的漏洞。Drupal的安全公告提供了修复漏洞的指南,特别是那些仍然使用不支持的Drupal版本的用户。开发人员以及系统管理员和信息安全专业人员也应该通过设计实践安全性:确保存储和管理个人和公司数据的应用程序的安全性,同时确保其易用性和功能性。
或者网站应用程序中的单个漏洞可能导致数据泄漏或中断。组织可以通过深度防御来进一步防止类似的威胁:实施最小权限原则并添加多btc挖矿(btcs挖矿是不是骗局)个安全层,如虚拟补丁、防火墙、入侵检测和预防系统以及应用程序控制和行为监控。
本文由黑客视界综合网整理,图片均来自网络;请注明“来自黑客视界”,并附上链接。
