SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿
两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道。
由于具备与永恒之蓝相似的传播性,大家调侃地模仿WannaCry病毒,把漏洞取名为SambaCry。
果然,最近两拨研究人员纷纷表示他们发现了针对这个漏洞的攻击。
独立研究员Omri Ben Bassat将攻击命名为”EternalMiner”。因为在感染linux主机后它会利用主机资源进行挖矿。
卡巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。
研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件,用来挖取Monero数字货币。所谓的“升级”就是攻击将参数和自己的钱包放在了软件的硬编码中。
为了检测目标主机是否含有漏洞,攻击者会进行一系列测试。首先他们会向主机写入一个含有八个随机符号的文本文件,以确认他们是否具有写入权限。
确认权限后,他们会上传两个payload文件,此时攻击者需要解决的问题是猜解文件上传后的路径。通过观察蜜罐捕捉的流量,我们可以看到他们从根目录开始猜,会用到各种配置说明书中提到的路径。
找到路径后,黑客就可以利用Samba漏洞执行刚才上传的两个payload文件了:
INAebsGB.so — 一个反弹shell
cblRWuoCc.so — 包含CPUminer 的后门软件
INAebsGB.so这个链接库文件中包含一个非常简单的反弹shell,它会连接到攻击者指定的IP地址,然后反弹/bin/sh的shell。攻击者可以借此执行任何命令,下载运行软件,或者删除主机上的任何信息。
我们之前提到过,msf已经新增了专门针对这个Samba漏洞的模块。研究人员发现这个文件跟msf生成的文件很相似。
“通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”
cblRWuoCc.so文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示:
下载的文件为minerd64_s,存储在/tmp/m目录下。
黑客月入4万前文说到,攻击者把自己的钱包地址写在了软件中。事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。通过这些信息,卡巴斯基的研究人员获取到了黑客的资金收入:
根据转账记录,黑客在4月30日挖到了第一笔monero货币。第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。经过一个月他们已经获得了98 XMR,按现在的汇率大约近4万人民币。
Samba的维护人员已经在4.6.4/4.5.10/4.4.14版本中修复了相关漏洞。
如果暂时不能升级版本或安装补丁,可以使用临时解决方案:
在smb.conf的[global]板块中添加参数:
nt pipe support = no
然后重启smbd服务。
INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a
cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc
minerd64_s 8d8bdb58c5e57c565542040ed1988af9
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55071.html
linuxshell开源相关文章
- 移动app漏洞收集(待整理)
- phpStudy nginx 解析漏洞复现
- 提高警惕!黑客在GitHub上利用虚假 PoC 漏洞钓鱼
- 信捷PLC组态软件中的漏洞
- 干货 |RCE漏洞原理及利用演示(远程代码执行)
- 【漏洞预警】Linux Kernel openvswitch 模块权限提升漏洞(CVE-2022-2639)POC复现及修复方法
- 渗透测试-如何高效率挖掘漏洞
- CVE-2020-2883 Weblogic远程代码漏洞
- 无需服务器的GitHub实时漏洞利用工具监听器,目前支持微信/TG推送,中文版 Github-CVE-Listener
- Discuz_X authkey安全性漏洞分析
- 第40篇:CORS跨域资源共享漏洞的复现、分析、利用及修复过程
- 文件上传之.user.ini文件漏洞利用
- toxssin:一款功能强大的XSS漏洞扫描利用和Payload生成工具
- Linux漏洞修复:拯救安全的必要武器(linux漏洞修复软件)
- 谷歌发布安全消息称有黑客正在野外积极利用安卓系统的4枚零日漏洞
- 利用Linux 漏洞防护:有效降低攻击风险(linux漏洞)
- 同步网络时间的 NTP 协议被发现存在8个漏洞
- Apple Watch 对讲机 APP 曝出窃听漏洞
- 黑客通过利用 ERP 漏洞破坏了 62 所美国大学
- Pwn2Own 黑客大赛 3 月回归:Safari 漏洞奖金总额 13 万美元
- 英特尔、微软公布漏洞出现新变体 未来几周发布补丁
- EternalBlue(永恒之蓝)工具漏洞利用细节分析
- 开源漏洞管理工具DefectDojo(一)使用指南:安装配置
- 利用《魔兽争霸3》漏洞传播的“萝莉”蠕虫分析
- 初识linux内核漏洞利用
- MSSQL注入漏洞源码知多少?(mssql注入漏洞源码)
- SSRF漏洞配合Redis窃取数据(ssrf配合redis)
- 传统缓存的漏洞利用Redis缓存有效避免传统缓存漏洞(redis缓存如何处理)
- Linux用户要注意修复漏洞