埃及黑客攻破Joomla邮件服务Jmail

栏目: 编程工具 · 发布时间: 5年前

内容简介:Joomla!是一款主流的CMS平台,被成千上万的企业广泛使用。过去研究人员也发现过Joomla的相关漏洞,比如CVE-2017-7985 Joomla Core序列化XSS过滤权限提升漏洞、CVE-2015-8562 Joomla对象注入远程代码执行漏洞。Check Point研究人员发现最近有攻击者利用Joomla!邮箱服务JMail的漏洞来发起攻击。

Joomla!是一款主流的CMS平台,被成千上万的企业广泛使用。过去研究人员也发现过Joomla的相关漏洞,比如CVE-2017-7985 Joomla Core序列化XSS过滤权限提升漏洞、CVE-2015-8562 Joomla对象注入远程代码执行漏洞。

Check Point研究人员发现最近有攻击者利用Joomla!邮箱服务JMail的漏洞来发起攻击。

埃及黑客攻破Joomla邮件服务Jmail

图 1: Joomla漏洞统计

Jmail是Joomla的邮箱服务,允许用户通过该平台来发送邮件。虽然该服务的初衷是发送邮件,但由于缺乏适当的安全机制,攻击者可以滥用该服务用于钓鱼、垃圾邮件活动,甚至可以在平台中应用后门基础设施。其实在HTTP请求的User-Agent header上应用简单的操作就可以对平台进行操作,并覆盖现有的Jmail服务。

攻击者Alarg53就是利用该漏洞来发送垃圾邮件来盈利。2年前,Alarg53就利用了wordpress的漏洞黑掉了斯坦福的服务器。

攻击流分析

利用Joomla对象注入远程命令执行

首先,攻击者利用了一个已知的对象注入远程代码执行漏洞,将代码注入到HTTP请求中的User-Agent header域中。这里攻击者在User-Agent域中注入了base64编码的字符串。

埃及黑客攻破Joomla邮件服务Jmail

图 2:  base64解码的 PHP 代码

然后PHP代码会下载文件并保存在指定路径下。

解码后,代码会转变成运行在受害者机器上的PHP代码。代码会尝试从Pastebin下载特定的文件并保存在指定路径下。其中一个指定路径是./libraries/joomla/jmail.php。

埃及黑客攻破Joomla邮件服务Jmail

但是研究人员发现一些URL已经无法访问了。

覆盖Joomla的Jmail服务

该文件是一个含有PHP代码的HTML文件,该文件含有2个主要的部分,表示两个不同的功能,分别是发送邮件和上传文件。文件下载和保存在受害者主机后,就会覆盖当前的Jmail服务。

埃及黑客攻破Joomla邮件服务Jmail

图3: 文件的mail section

埃及黑客攻破Joomla邮件服务Jmail

图 4: 文件的upload section

为了伪装上传的特征,攻击者使用了许多BR标签,并放在文件的最后。

后门和钓鱼基础设施

该文件其实是攻击者得以上传文件和发送邮件的基础设施。基于该攻击者的活动分析,研究人员认为该基础设施被用于钓鱼和垃圾邮件活动。

埃及黑客攻破Joomla邮件服务Jmail

图 5: 攻击者制作的钓鱼页面示例

攻击者分析

基于这些线索,研究人员分析得出攻击活动的幕后黑手是一名埃及黑客Alarg53。过去这些年,Alarg53员工黑掉了超过15000个网站,并将被黑的网站主页替换成了Hacked by Alarg53标志。最近几年,Alarg53已经不在攻击网站了,而是开始建立为钓鱼和垃圾邮件提供服务的基础设施。2年前,斯坦福的Biology of Aging Center被黑,Alarg53在替换了网站主页后就上传了2个可以发送大量垃圾邮件的PHP脚本。

埃及黑客攻破Joomla邮件服务Jmail

图 6:  Hacked By Alarg53主页示例

最开始的时候,Alarg53只是做一些单纯的挖洞和利用。近期,他开始通过加密货币挖矿和钓鱼基础设施来挣钱了。其攻击活动影响的范围非常大,美国、墨西哥、葡萄牙、英国、法国、日本都受到波及;受影响的行业主要有金融、银行和政府组织。

埃及黑客攻破Joomla邮件服务Jmail

图 7:   Alarg53活动地图

总结

Jmail攻击者使用Joomla对象注入漏洞成功创建了一个钓鱼和垃圾邮件的基础设施,并建立了以此为基础的货币化链条。checkpoint研究人员预测未来会有更多这样的垃圾邮件攻击方法出现。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Python Data Structures and Algorithms

Python Data Structures and Algorithms

Benjamin Baka / Packt Publishing / 2017-5-30 / USD 44.99

Key Features A step by step guide, which will provide you with a thorough discussion on the analysis and design of fundamental Python data structures.Get a better understanding of advanced Python c......一起来看看 《Python Data Structures and Algorithms》 这本书的介绍吧!

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具