前一陣, 我們對Apache Strust 2的CVE-2017-5638漏洞進行了預警, 最近F5實驗室的研究人員發現Apache Struts 2 漏洞被網路罪犯用於傳遞Cerber勒索軟體。 實際上在Strut2漏洞公開之時, 懷有歹心的人就利用了S2-045(CVE-2017-5638)遠端代碼執行漏洞來傳遞勒索軟體——在伺服器上部署勒索軟體從去年下半年開始就已經成為如今的一個趨勢了。
概述
一般僵屍網路的作者常用的攻擊方式, 首先是掃描互聯網上的web漏洞, 以便惡意程式或者後門能夠利用此類漏洞。 伺服器一般都有著較強的性能和高頻寬, 而且很多是不帶反病毒解決方案的。
所以一旦某個0day漏洞曝光, 網上就會有一堆攻擊者開始搞掃描工作,
惡意軟體簡單分析
該攻擊活動是在S2-045漏洞被披露幾天之後發現的, 即2017年3月6日開始的。 3月10日, F5的研究人員就開始觀察該攻擊活動。 其攻擊傳染媒介似乎對原有的公開PoC做了輕微的修改。
圖1.S2-045的正常網路活動
如今所有人都直到, S2-045漏洞的觸發是通過Content-Typer header值進行的——在這一例中, 伺服器如果的確存在該漏洞, 攻擊者就採用執行shell命令的方式來進行攻擊。
在這波攻擊的第一階段中, 研究人員發現攻擊者將shell命令用於感染PowerBot惡意程式——這款惡意程式採用PERL編寫,
Bot部署到位後, 被感染的伺服器就會連接至IRC通道獲取指令——如圖2、圖3所示。 F5通過對IRC的追蹤發現, 到目前為止被感染的伺服器已經超過2500個。
圖2:IRC通道包含超過2500個bot
隨便挑選其中一些感染主機名稱和IP位址,
圖3:連接至IRC通道感染主機示例
從DDOS到加密虛擬幣的挖掘
bot隨後就開始挖礦了, 挖掘所得的虛擬幣會進入到多個加密幣池中, 如圖6的設定檔所示。
圖6.“minerd”設定檔
這些礦池似乎託管於法國的“crypto-pool.fr”功能變數名稱下:
圖7.礦機託管於法國線上的SAS網路
該惡意軟體有趣的地方在於其自身的傳播方式。 它會在目標伺服器上搜索伺服器管理員連接的所有遠端IP位址。 它會搜索SSH“known_hosts”檔, 該檔保留管理員連接的所有伺服器的IP位址和特徵。 同時它還會掃描Bash歷史檔以獲取SSH命令中使用的所有IP位址。
圖8.惡意軟體傳播到其他已知伺服器
ShellShock連接
F5研究人員觀察到, 本次攻擊行動的其中一個IP位址來自香港, 如圖9所示。 先前這個IP地址就曾經用ShellShock(CVE-2014-6271)發動類似的攻擊。
圖9.攻擊託管於香港港口的T&T網路
F5研究人員注意到,這次的惡意程式檔案名和先前的攻擊都是一樣的,如圖10和圖11所示的”.mailer”和”a”。不過這次攻擊所用的加密幣挖礦池和帳戶變了,如圖12所示。
圖10.ShellShock 傳遞“.mail”的PERL bot
圖11.ShellShock傳遞“a”的頭部bash腳本
圖12.礦機配置
擴展到伺服器勒索軟體
一般來說利用web漏洞傳播Linux DDoS惡意程式是很常見的事,值得一提的是,針對伺服器的勒索軟體從去年開始似乎成為了一種新趨勢。
這次的幕後攻擊者實際上有好幾個不同的攻擊行為。這次,感染Windows設備的payload用上了著名的Cerber勒索程式。
圖13.APACHE STRUTS漏洞傳遞Windows勒索軟體
運行勒索程式之後,程式當然就會對檔進行加密,還會顯示圖14中的勒索資訊。
圖14.勒索資訊
同市面上多數勒索軟體一樣,受害者會收到解鎖檔的教程,如圖所示。
圖15.勒索支付指示
F5的研究人員分析了該惡意程式變體,發現增加了一個功能,即修改Windows防火牆規則,阻止反病毒軟體與外界的通訊——也就是不讓反病毒軟體更新和提交報告。如圖16所示:
圖16.勒索軟體阻礙Windows防火牆
為了找到目標設備上已安裝的安全軟體,惡意程式首先會運行WMI查詢”AntiSpywareProduct”和”FirewallProduct”類。
圖17.WMI查詢獲取安裝安全產品清單
隨後惡意程式就會將所有查詢結果涉及的檔和資料夾加到防火牆規則中。
圖18.添加防火牆規則
攻擊者這麼拿錢
這一波幾個不同的攻擊行動,其幕後攻擊者都用同一個比特幣ID。
圖19.軟體配置中的比特幣帳戶
這個帳戶中有84比特幣,大約相當於8.6萬美元。而在Struts漏洞公開以後,該比特幣帳戶又有2.2比特幣的進出,大約是2300美元。
圖20.惡意軟體帳戶上的比特幣交易
最後
現在的駭客牛叉的地方就在於,一旦有0day漏洞曝出,其現有攻擊方式就能夠以極快的速度得到進化。所以即便防禦方不停地在修復漏洞,其攻擊還是可以持續進行。
在感染了數千個新伺服器的同時,Apache STRUTS中的新漏洞為駭客提供了更廣闊的目標來擴展業務。用勒索軟體感染伺服器,比感染個人設備可能會得到更多的彙報,因為這些伺服器通常由擁有多金的組織和相對更好的基礎架構,這對於他們的業務可能至關重要,支付贖金的概率相對更高一些。
圖9.攻擊託管於香港港口的T&T網路
F5研究人員注意到,這次的惡意程式檔案名和先前的攻擊都是一樣的,如圖10和圖11所示的”.mailer”和”a”。不過這次攻擊所用的加密幣挖礦池和帳戶變了,如圖12所示。
圖10.ShellShock 傳遞“.mail”的PERL bot
圖11.ShellShock傳遞“a”的頭部bash腳本
圖12.礦機配置
擴展到伺服器勒索軟體
一般來說利用web漏洞傳播Linux DDoS惡意程式是很常見的事,值得一提的是,針對伺服器的勒索軟體從去年開始似乎成為了一種新趨勢。
這次的幕後攻擊者實際上有好幾個不同的攻擊行為。這次,感染Windows設備的payload用上了著名的Cerber勒索程式。
圖13.APACHE STRUTS漏洞傳遞Windows勒索軟體
運行勒索程式之後,程式當然就會對檔進行加密,還會顯示圖14中的勒索資訊。
圖14.勒索資訊
同市面上多數勒索軟體一樣,受害者會收到解鎖檔的教程,如圖所示。
圖15.勒索支付指示
F5的研究人員分析了該惡意程式變體,發現增加了一個功能,即修改Windows防火牆規則,阻止反病毒軟體與外界的通訊——也就是不讓反病毒軟體更新和提交報告。如圖16所示:
圖16.勒索軟體阻礙Windows防火牆
為了找到目標設備上已安裝的安全軟體,惡意程式首先會運行WMI查詢”AntiSpywareProduct”和”FirewallProduct”類。
圖17.WMI查詢獲取安裝安全產品清單
隨後惡意程式就會將所有查詢結果涉及的檔和資料夾加到防火牆規則中。
圖18.添加防火牆規則
攻擊者這麼拿錢
這一波幾個不同的攻擊行動,其幕後攻擊者都用同一個比特幣ID。
圖19.軟體配置中的比特幣帳戶
這個帳戶中有84比特幣,大約相當於8.6萬美元。而在Struts漏洞公開以後,該比特幣帳戶又有2.2比特幣的進出,大約是2300美元。
圖20.惡意軟體帳戶上的比特幣交易
最後
現在的駭客牛叉的地方就在於,一旦有0day漏洞曝出,其現有攻擊方式就能夠以極快的速度得到進化。所以即便防禦方不停地在修復漏洞,其攻擊還是可以持續進行。
在感染了數千個新伺服器的同時,Apache STRUTS中的新漏洞為駭客提供了更廣闊的目標來擴展業務。用勒索軟體感染伺服器,比感染個人設備可能會得到更多的彙報,因為這些伺服器通常由擁有多金的組織和相對更好的基礎架構,這對於他們的業務可能至關重要,支付贖金的概率相對更高一些。