SambaCry漏洞CVE-2017-7494再被利用 在NAS上装SHELLBIND恶意软件窃取数据

本文涉及的产品
文件存储 NAS,50GB 3个月
简介:

黑客正在利用SambaCry 漏洞,攻击较早版本的 samba 文件共享服务器,并安装木马程序。根据来自趋势科技的专家, 大多数攻击都针对网络连接存储 (nas) 设备,这样的设备不少是用Samba服务进行文件共享的。

通过 SambaCry 漏洞部署SHELLBIND 恶意软件

该恶意软件, 被研究员称为 SHELLBIND, 利用了一个名为SambaCry (或 EternalRed)的漏洞, 该漏洞于2017年5月底披露。这个 漏洞CVE-2017-7494 ,影响了过去七年中发布的 samba 软件的所有版本, 从版本3.5.0 开始。

在Samba小组进行了补丁更新以及漏洞细节被公开的两周之后, 有人用 SambaCry 感染了 linux 服务器, 并安装了一个名叫 EternalMiner 的加密货币矿工。

SHELLBIND 恶意软件打开61422端口

上个月EternalMiner攻击依然在持续, 但在今天的早些时候, 趋势科技发布了一个关于新的 SHELLBIND 恶意软件的报告, 也被发现利用了SambaCry漏洞作为攻击的payload。

据研究人员说, SHELLBIND 是一个简单的后门特洛伊木马程序, 它允许攻击者在受感染的设备上打开远程 shell。特洛伊木马程序能够更改本地防火墙规则,并打开 tcp 端口 61422, 因此攻击者可以连接到受感染的设备。

SHELLBIND通过ping 169.239.128.123/端口80的这个服务器,来通知攻击者它感染了新设备。恶意软件攻击者从服务器日志中提取新的 ip, 并通过端口61422手动连接到每个受感染的主机。

访问 SHELLBIND 的 shell 是受密码保护的。密码在特洛伊木马程序代码中是硬编码的:"Q8pGZFS7N1MObJHf"。

SHELLBIND 最有可能用于数据窃取

与主要针对 linux 服务器的 EternalMiner 相比, SHELLBIND 主要用于攻击 nas 设备, 尽管它也感染了运行易受攻击的 samba 版本的其他类型的设备。

基于恶意软件的特点和其目标攻击的性质,可以推测出, 威胁行为者正在寻找数据窃取, 并可能在地下黑客论坛出售, 或用于索要赎金。

此事件不是影响 nas 设备的第一个安全事件。今年早些时候, 安全研究员 Zenofex 发现了几个影响 wd MyCloud nas 设备型号的漏洞。

在 2016年9月, 一个恶意软件变种名为Mal/Miner-c (也称为 PhotoMiner) 感染了希捷NAS 设备 ,并利用它们来进行Monero加密货币挖矿。

SambaCry漏洞早有官方建议

Samba官方已经提供了新版本来修复上述漏洞,请受影响的用户尽快升级到新版本,下载链接如下:

https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz

趋势科技再给缓解方案

User systems are protected from any threats that may target the SambaCry vulnerability via the following DPI rule:

  • 1008420-Samba Shared Library Remote Code Execution Vulnerability (CVE-2017-7494)

protects customers from this threat via this DDI Rule:

  • 3733 SHELLBIND – TCP (Request)

customers are protected under the filter:

  • 29058: TCP: SambaShell Checkin




原文发布时间: 2017年7月19日
本文由: bleepingcomputer发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/sambacry-backdoors-on-nas
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
相关文章
|
算法 文件存储 计算机视觉
CVPR‘2023 | PA&DA:联合优化路径和数据采样的超网一致性NAS
CVPR‘2023 | PA&DA:联合优化路径和数据采样的超网一致性NAS
268 0
|
存储 弹性计算 文件存储
ECS 备份数据到NAS(一):使用Windows Server Backup工具
本文介绍了在阿里云ECS上通过Windows Server Backup工具将云盘上指定文件夹或者整盘的重要数据备份到阿里云NAS的配置和步骤,通过Windows Server Backup工具可以按需手动或者配置周期性地自动将重要数据备份到NAS,并且在需要的时候方便地从备份中恢复原来的数据。
5120 0
|
存储 人工智能 前端开发
企业数据创新之旅——高性能NAS助力业务上云
在2018年云栖大会·南京峰会的飞天技术汇专场中,阿里云产品专家王登宇带来了题为《企业数据创新之旅——高性能NAS助力业务上云》的精彩技术分享。在分享中,他首先介绍了企业上云面临的困难和阿里云存储之路;随后对NAS文件存储产品家族的技术架构和适用场景进行了分析;分享最后,他结合基因、视频、AI等具体客户对NAS助力业务上云进行了详细讲解。
9458 0
|
存储 Kubernetes 网络协议
容器存储:Flexvolume 迁移 CSI (NAS、OSS数据卷)
本文介绍如何将Flexvolume插件挂载的NAS、OSS类型存储转换到CSI插件类型;如果您使用了云盘数据卷,本文提供的方案还不适合这个场景,具体方案敬请期待。
1703 0
|
存储 Kubernetes Linux
阿里云 ACK 挂载 NAS 数据卷
记录在阿里云购买、配置、挂载 NAS 数据卷到 Kubernetes 集群,由于官方文档没有及时更新,可以看做是对官方文档的补充。
2974 0
|
存储 文件存储
突破吞吐限制,多NAS性能聚合方案,数据上传及读写
本文提出一种通过挂载多个NAS来获取更高文件存储吞吐性能的方法,适合特殊场景下的一些应用
2027 0
|
存储 分布式计算 大数据
使用E-MapReduce服务处理阿里云文件存储(NAS)的数据
给大家介绍一个使用场景,可以将E-MapReduce的Hadoop作业和文件存储(NAS)结合在一起,发挥分布式存储和分布式计算在一起的威力
4139 0
|
存储 运维 监控
阿里云的文件存储NAS使用心得
阿里云的文件存储NAS使用心得
393 0