两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道。
由于具备与永恒之蓝相似的传播性,大家调侃地模仿WannaCry病毒,把漏洞取名为SambaCry。
果然,最近两拨研究人员纷纷表示他们发现了针对这个漏洞的攻击。
攻击详情
独立研究员Omri Ben Bassat将攻击命名为”EternalMiner”。因为在感染linux主机后它会利用主机资源进行挖矿。
卡巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。
研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件,用来挖取Monero数字货币。所谓的“升级”就是攻击将参数和自己的钱包放在了软件的硬编码中。
漏洞检测
为了检测目标主机是否含有漏洞,攻击者会进行一系列测试。首先他们会向主机写入一个含有八个随机符号的文本文件,以确认他们是否具有写入权限。
确认权限后,他们会上传两个payload文件,此时攻击者需要解决的问题是猜解文件上传后的路径。通过观察蜜罐捕捉的流量,我们可以看到他们从根目录开始猜,会用到各种配置说明书中提到的路径。
找到路径后,黑客就可以利用Samba漏洞执行刚才上传的两个payload文件了:
INAebsGB.so — 一个反弹shell
cblRWuoCc.so — 包含CPUminer 的后门软件
INAebsGB.so
这个链接库文件中包含一个非常简单的反弹shell,它会连接到攻击者指定的IP地址,然后反弹/bin/sh的shell。攻击者可以借此执行任何命令,下载运行软件,或者删除主机上的任何信息。
我们之前提到过,msf已经新增了专门针对这个Samba漏洞的模块。研究人员发现这个文件跟msf生成的文件很相似。
“通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”
cblRWuoCc.so
文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示:
下载的文件为minerd64_s,存储在/tmp/m目录下。
黑客月入4万
前文说到,攻击者把自己的钱包地址写在了软件中。事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。通过这些信息,卡巴斯基的研究人员获取到了黑客的资金收入:
根据转账记录,黑客在4月30日挖到了第一笔monero货币。第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。经过一个月他们已经获得了98 XMR,按现在的汇率大约近4万人民币。
漏洞修复
Samba的维护人员已经在4.6.4/4.5.10/4.4.14版本中修复了相关漏洞。
如果暂时不能升级版本或安装补丁,可以使用临时解决方案:
在smb.conf的[global]板块中添加参数:
nt pipe support = no
然后重启smbd服务。
IoC
INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a
cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc
minerd64_s 8d8bdb58c5e57c565542040ed1988af9
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55071.html