SambaCry真的来了,CVE-2017-7494漏洞的致富途径

2017年06月13日 12:07 1334



(原文题目:SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道


由于具备与永恒之蓝相似的传播性,大家调侃地模仿WannaCry病毒,把漏洞取名为SambaCry。

果然,最近两拨研究人员纷纷表示他们发现了针对这个漏洞的攻击。


攻击详情

独立研究员Omri Ben Bassat将攻击命名为”EternalMiner”。因为在感染linux主机后它会利用主机资源进行挖矿。



巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。


研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件,用来挖取Monero数字货币。所谓的“升级”就是攻击将参数和自己的钱包放在了软件的硬编码中。


漏洞检测


为了检测目标主机是否含有漏洞,攻击者会进行一系列测试。首先他们会向主机写入一个含有八个随机符号的文本文件,以确认他们是否具有写入权限。


确认权限后,他们会上传两个payload文件,此时攻击者需要解决的问题是猜解文件上传后的路径。通过观察蜜罐捕捉的流量,我们可以看到他们从根目录开始猜,会用到各种配置说明书中提到的路径。



找到路径后,黑客就可以利用Samba漏洞执行刚才上传的两个payload文件了:

INAebsGB.so — 一个反弹shell

cblRWuoCc.so — 包含CPUminer 的后门软件


INAebsGB.so


这个链接库文件中包含一个非常简单的反弹shell,它会连接到攻击者指定的IP地址,然后反弹/bin/sh的shell。攻击者可以借此执行任何命令,下载运行软件,或者删除主机上的任何信息。



我们之前提到过,msf已经新增了专门针对这个Samba漏洞的模块。研究人员发现这个文件跟msf生成的文件很相似。

 “通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”


cblRWuoCc.so


文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示:



下载的文件为minerd64_s,存储在/tmp/m目录下。


黑客月入四万


前文说到,攻击者把自己的钱包地址写在了软件中。事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。通过这些信息,卡巴斯基的研究人员获取到了黑客的资金收入:



根据转账记录,黑客在4月30日挖到了第一笔monero货币。第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。经过一个月他们已经获得了98 XMR,按现在的汇率大约近4万人民币。


漏洞修复


Samba的维护人员已经在4.6.4/4.5.10/4.4.14版本中修复了相关漏洞。

如果暂时不能升级版本或安装补丁,可以使用临时解决方案:

在smb.conf的[global]板块中添加参数:

然后重启smbd服务。


Ioc


INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a

cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc

minerd64_s 8d8bdb58c5e57c565542040ed1988af9


*文章转载自FreeBuf.COM,本文作者:Sphinx



阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。



标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录