SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道。

由于具备与永恒之蓝相似的传播性,大家调侃地模仿WannaCry病毒,把漏洞取名为SambaCry。

果然,最近两拨研究人员纷纷表示他们发现了针对这个漏洞的攻击。

攻击详情

独立研究员Omri Ben Bassat将攻击命名为”EternalMiner”。因为在感染linux主机后它会利用主机资源进行挖矿。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

卡巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。

研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件,用来挖取Monero数字货币。所谓的“升级”就是攻击将参数和自己的钱包放在了软件的硬编码中。

漏洞检测

为了检测目标主机是否含有漏洞,攻击者会进行一系列测试。首先他们会向主机写入一个含有八个随机符号的文本文件,以确认他们是否具有写入权限。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

确认权限后,他们会上传两个payload文件,此时攻击者需要解决的问题是猜解文件上传后的路径。通过观察蜜罐捕捉的流量,我们可以看到他们从根目录开始猜,会用到各种配置说明书中提到的路径。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

找到路径后,黑客就可以利用Samba漏洞执行刚才上传的两个payload文件了:

INAebsGB.so — 一个反弹shell

cblRWuoCc.so — 包含CPUminer 的后门软件

INAebsGB.so

这个链接库文件中包含一个非常简单的反弹shell,它会连接到攻击者指定的IP地址,然后反弹/bin/sh的shell。攻击者可以借此执行任何命令,下载运行软件,或者删除主机上的任何信息。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

我们之前提到过,msf已经新增了专门针对这个Samba漏洞的模块。研究人员发现这个文件跟msf生成的文件很相似。

 “通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”

cblRWuoCc.so

文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示:

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

下载的文件为minerd64_s,存储在/tmp/m目录下。

黑客月入4万

前文说到,攻击者把自己的钱包地址写在了软件中。事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。通过这些信息,卡巴斯基的研究人员获取到了黑客的资金收入:

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

根据转账记录,黑客在4月30日挖到了第一笔monero货币。第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。经过一个月他们已经获得了98 XMR,按现在的汇率大约近4万人民币。

漏洞修复

Samba的维护人员已经在4.6.4/4.5.10/4.4.14版本中修复了相关漏洞。

如果暂时不能升级版本或安装补丁,可以使用临时解决方案:

在smb.conf的[global]板块中添加参数:

nt pipe support = no

然后重启smbd服务。

IoC

INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a

cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc

minerd64_s 8d8bdb58c5e57c565542040ed1988af9

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/55071.html

(0)
上一篇 2021年8月7日 06:26
下一篇 2021年8月7日 06:26

相关推荐

发表回复

登录后才能评论