歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

向Web服務器投遞惡意挖礦軟件的蠕蟲

來源:本站整理 作者:佚名 時間:2019-06-06 TAG: 我要投稿


 
實際中,面向公共互聯網提供服務的系統或服務器,都是處于邊緣位置的。所以無論是物聯網設備還是企業級服務器,只要能被外界訪問到,那就會無時無刻被攻擊。
最近,我們發現了一種攻擊手法,多個公司Apache Tomcat Web服務器反復遭受感染。通常因為擔心端點反病毒軟件會降低服務器的性能或造成服務器不穩定,所以服務器管理員并沒有安裝相應的防御工具。顯然,這種想法在現在看來很過時。
這種情況下,雖然服務器管理員確保已經將操作系統及Apache組件更新到最新版本,但每當處理完感染問題沒多久,又出現了同樣的問題。
幸運的是,服務器管理員提供了捕獲到的包含攻擊行為的網絡數據包。這種攻擊看起來很眼熟,因為在我們部署的蜜罐中,就曾見到這種自動化投遞惡意挖礦軟件的攻擊行為。但是在這之前,還未見過在野攻擊成功的案例,所以我們決定通過分析捕獲的數據包來解釋這次攻擊是如何實施的。
 
貓(Tomcat)和老鼠
入侵成功的根本原因在于管理員在Tomcat管理頁面中使用了弱口令。初始階段的攻擊是在Tomcat管理面板對登錄憑證進行暴力破解,一旦攻擊者成功以管理員身份登錄,那一切都完了。
在得到正確的登錄憑據后,攻擊者會對服務器發起HTTP POST請求,如下圖所示:

圖1:攻擊者通過HTTP POST上傳新的的admin.jsp頁面
在Tomcat管理頁面允許管理員以擴展名為.war的文件形式將Web應用程序上傳到服務器。此時攻擊者上傳了一個名為admin-manager.war的.war文件,該文件中包含了一個名為admin.jsp的惡意JSP文件。一旦該文件被外部攻擊者調用,就會生成目標服務器配置信息文件。
admin.jsp文件如下所示:

圖2:admin.jsp文件收集目標系統的配置信息,并可以執行命令
Admin.jsp有三個功能:收集系統配置信息,在Apache服務器上創建新文件,以及使用Web服務器帳戶的權限在服務器上執行命令。
攻擊者可以使用“ act ” 命令(猜測為“action”的簡寫),指定相應參數,然后加上一個或兩個選項。三個參數(SI,、SH、 UF)用途如下:System Information (act=SI)System Information函數將返回諸如OS、主機名、用戶名等信息。
File Creation (act=UF)當“upload file”被調用,攻擊者所發送的Base64字符將寫入到Apache服務器的一個文件中。
Command execution (act=SH)取決于正在運行Tomcat服務器的操作系統,此“shell”命令將嘗試使用/ bin / bash(* nix服務器)、Windows命令行或PowerShell執行命令。還支持對命令字符串進行Base64編碼。
兩個選項的說明如下:
String Parameter1 = request.getParameter ( “p1” )
如果參數為SH代表內容進行Base64編碼
如果參數為UF代表為文件命名
String Parameter2 = request.getParameter ( “p2” )
如果參數為SH代表True
如果參數為UF代表將Base64轉為blob
 
挖礦軟件投遞
例如,攻擊者一開始會向服務器發起字段內容為act = SI的HTTP POST請求,服務器的響應如下圖:

圖3
從返回中可以看出這個Tomcat部署在64位Windows Server 2012計算機上,還返回了主機名稱(為了隱私,我們打了馬賽克),以及惡意.jsp文件的存放路徑。至于標題中的“Hello,Peppa!(你好,佩奇)”,我們猜測攻擊者可能是小豬佩奇的粉絲。
出于某種原因,攻擊者執行兩次此命令,相互相隔一秒。
接下來,攻擊者發出了一個action= SH&p2 = True&p1 =(base64)的“SH”命令,如下所示:

圖4
解碼后如內容下:

圖5
該腳本首先會嘗試殺死WMIC.exe,RegSvr32.exe和PowerShell.exe進程,然后檢查系統是否存在PowerShell 1.0的文件路徑(%systemroot% System32 WindowsPowerShell v1.0 PowerShell.exe)。如果它在系統中找到該路徑,將執行base64編碼中的blob數據(上圖中黃色高亮顯示部分)。
如果腳本找不到PowerShell的路徑,它將使用RegSvr32.exe從C2服務器下載并執行名為init.gif的文件。并使用腳本com對象(scrobj.dll)來執行init.gif的內容。
在PCAP中,可以看到攻擊者執行命令后服務器的響應。如下圖,攻擊者發出命令時服務器未運行以上三個進程,所以這部分命令沒有并執行成功。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视