黑客正在利用SambaCry 漏洞,攻击较早版本的 samba 文件共享服务器,并安装木马程序。根据来自趋势科技的专家, 大多数攻击都针对网络连接存储 (nas) 设备,这样的设备不少是用Samba服务进行文件共享的。
通过 SambaCry 漏洞部署SHELLBIND 恶意软件
该恶意软件, 被研究员称为 SHELLBIND, 利用了一个名为SambaCry (或 EternalRed)的漏洞, 该漏洞于2017年5月底披露。这个 漏洞CVE-2017-7494 ,影响了过去七年中发布的 samba 软件的所有版本, 从版本3.5.0 开始。
在Samba小组进行了补丁更新以及漏洞细节被公开的两周之后, 有人用 SambaCry 感染了 linux 服务器, 并安装了一个名叫 EternalMiner 的加密货币矿工。
SHELLBIND 恶意软件打开61422端口
上个月EternalMiner攻击依然在持续, 但在今天的早些时候, 趋势科技发布了一个关于新的 SHELLBIND 恶意软件的报告, 也被发现利用了SambaCry漏洞作为攻击的payload。
据研究人员说, SHELLBIND 是一个简单的后门特洛伊木马程序, 它允许攻击者在受感染的设备上打开远程 shell。特洛伊木马程序能够更改本地防火墙规则,并打开 tcp 端口 61422, 因此攻击者可以连接到受感染的设备。
SHELLBIND通过ping 169.239.128.123/端口80的这个服务器,来通知攻击者它感染了新设备。恶意软件攻击者从服务器日志中提取新的 ip, 并通过端口61422手动连接到每个受感染的主机。
访问 SHELLBIND 的 shell 是受密码保护的。密码在特洛伊木马程序代码中是硬编码的:"Q8pGZFS7N1MObJHf"。
SHELLBIND 最有可能用于数据窃取
与主要针对 linux 服务器的 EternalMiner 相比, SHELLBIND 主要用于攻击 nas 设备, 尽管它也感染了运行易受攻击的 samba 版本的其他类型的设备。
基于恶意软件的特点和其目标攻击的性质,可以推测出, 威胁行为者正在寻找数据窃取, 并可能在地下黑客论坛出售, 或用于索要赎金。
此事件不是影响 nas 设备的第一个安全事件。今年早些时候, 安全研究员 Zenofex 发现了几个影响 wd MyCloud nas 设备型号的漏洞。
在 2016年9月, 一个恶意软件变种名为Mal/Miner-c (也称为 PhotoMiner) 感染了希捷NAS 设备 ,并利用它们来进行Monero加密货币挖矿。
SambaCry漏洞早有官方建议
Samba官方已经提供了新版本来修复上述漏洞,请受影响的用户尽快升级到新版本,下载链接如下:
https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz
https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz
https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz
趋势科技再给缓解方案
User systems are protected from any threats that may target the SambaCry vulnerability via the following DPI rule:
- 1008420-Samba Shared Library Remote Code Execution Vulnerability (CVE-2017-7494)
protects customers from this threat via this DDI Rule:
- 3733 SHELLBIND – TCP (Request)
customers are protected under the filter:
- 29058: TCP: SambaShell Checkin
