威脅行為者利用Drupalgeddon漏洞大規模破壞網站和底層伺服器
IBM Security的託管安全服務(MSS)團隊持續監控企業威脅狀況,檢測並對映新威脅。在最近的一次調查中,我們的MSS情報分析人員發現惡意行為者利用最新的Drupal漏洞來攻擊各種網站以及託管它們的底層基礎設施,利用Shellbot開啟後門。
這是出於經濟動機從而對網站進行大規模感染。面對這些不斷演變的威脅,防禦者如何保護網站和底層系統的安全?
一、Drupal簡介
與WordPress一樣,Drupal是一個內容管理系統(CMS),廣泛用於為個人和企業,私人和公共等各種目的建立和維護網站和應用程式。Drupal是開源的,因此由使用者社群維護。這也是其安全性和漏洞修補的維護方式。
在大量網站上使用的CMS對於網路犯罪分子而言是很好的目標,他們通常以一種通用的方式自動化攻擊。網路犯罪分子會隨機針對任何網站,因為他們想感染儘可能多的目標,並在以後才考慮金錢因素。
為此,惡意行為者經常選擇一個漏洞,然後集中探測可利用的網站。那些因其他原因而未受到修補或易受攻擊的人可能會受到攻擊者的控制,這可能意味著該網站的完全淪陷。通過這種級別的控制,攻擊者可以訪問該站點,將其作為竊取資料、託管惡意內容或發起其他攻擊的資源。
二、ShellBot作為後門與Drupalgeddon 2.0一齊使用
在最近調查針對全球企業的惡意活動時,我們的團隊檢測到一個重複傳送相同HTTP POST請求的IP地址:
對這些請求的進一步調查發現了:來自眾多命令和控制(C&C)伺服器的其他來源的相似流量,託管伺服器下載Perl指令碼以啟動Shellbot惡意軟體,以及有效負載命名模式,這就開始描繪出一個廣泛的網路攻擊。我們的團隊將此行動的開始追溯到2018年8月中旬。
三、掃描和部署
攻擊者利用稱為 ofollow,noindex">CVE-2018-7600 或 Drupalgeddon 2.0 的關鍵遠端執行程式碼(RCE)漏洞掃描網站,最終使用Shellbot惡意軟體打開後門。該掃描還包括另一個漏洞CVE-2018-7602,這是另一個非常關鍵的RCE漏洞。儘管這兩個漏洞都已修補,但由於使用者延遲修補和升級,漏洞仍然存在。
當我們繼續調查時,攻擊者在安裝階段掃描存在漏洞的網站以查詢/user/register和/user/password頁面,同時嘗試使用wget下載Backdoor.Shellbot的Perl指令碼。
成功後,該指令碼運行了一個shell命令注入,用於安裝基於Perl的bot。我們調查中的Shellbot例項連線到Internet中繼聊天(IRC)通道,並將其用作C&C中心以接收來自控制器的指令。該bot包含多個工具來執行分散式拒絕服務(DDoS)攻擊並搜尋SQL%E6%B3%A8%E5%85%A5/">SQL注入漏洞和其他漏洞,包括特權提升以達到受害系統的root許可權。
此行動中使用的漏洞以自動方式利用,允許攻擊者以最小的努力掃描大量網站。此外,如果成功利用,該漏洞可能導致Web應用程式的潛在危害,並且還可能溢位到底層作業系統。
四、Shellbot重出江湖
Shellbot本身是一箇舊程式碼,自2005年左右開始出現,用於惡意遠端訪問和控制受感染終端。Shellbot可以開啟遠端命令列shell、執行拒絕服務攻擊、執行任務和程序、根據攻擊者的命令下載其他檔案以及更改終端的設定等等。
Shellbot似乎過時而且過於簡單,但是它被幾個威脅組織主動使用。2017年3月,在 Apache Struts ( CVE-2017-5638 )的熱潮中,ShellBot被打包為帶有PowerBot惡意軟體的C&C,後者在受感染的裝置上部署了加密貨幣挖掘模組。這種組合使犯罪分子可以從其計劃中獲得超過10萬美元的非法利潤。
回顧我們最近幾個月發現的大多數Shellbot惡意軟體攻擊,我們的團隊確定了一些變體,其中包含以下指令:
·在安裝攻擊者的新加密貨幣挖掘器之前,終止所有正在執行的加密貨幣挖掘活動;
· 網路釣魚活動;
· 分發網路釣魚垃圾郵件;
· 進行各種型別的DDoS攻擊;
· 通過PHP模組將資料滲透到預定的電子郵件地址。
五、攻擊者使用老漏洞
找到或購買零day漏洞需要花費大量的時間和金錢,這兩個資源網路犯罪分子通常不願意投資。以自動方式使用現有漏洞,如Drupalgeddon和攻擊程式碼等更為有利可圖,尤其是當用戶延遲修補和更新其應用程式時。
以下是我們的安全專家提供的有關如何降低現有漏洞風險的提示以及使用它們破壞網路資源和資產的提示:
·如果需要,使用HTTPS等升級協議或進行升級。
· 將CMS更新為最新版本並使用所有可用的修補程式。
· 對所有Web應用程式執行輸入驗證檢查,以確保任何終端使用者都無法執行shell命令。在客戶端和伺服器端進行驗證,以確保指令碼和惡意程式碼無法在底層伺服器或資料庫上執行。
· 攻擊者將嘗試暴力破解;確保密碼強大,加密和加鹽。使用雙因素身份驗證(2FA)來阻止自動攻擊。