當前位置:
首頁 > 新聞 > WannaMine新動向:對Weblogic服務端發起大規模攻擊

WannaMine新動向:對Weblogic服務端發起大規模攻擊

新聞 03-23

近日,360互聯網安全中心監測到挖礦殭屍網路「WannaMine」進行了一次全面更新,目標直指使用Weblogic服務端組件的伺服器。該殭屍網路使用Oracle在2017年10月修復的Weblogic反序列化漏洞cve-2017-10271發起攻擊,由於外網仍有大量伺服器未對Weblogic服務進行升級,這些伺服器很可能成為下一批「WannaMine」的礦工。

「WannaMine」最早活躍於2017年9月,更新前的「WannaMiner」使用「永恆之藍」漏洞攻擊武器與「Mimikatz」憑證竊取工具攻擊伺服器植入礦機,並藉助PowerShell和WMI實現無文件,具體細節見附錄中的報告。

「WannaMine」在3月10日進行更新,摒棄了「永恆之藍」漏洞和「Mimikatz」工具,轉而對Weblogic服務端組件發起攻擊。圖1展示了我們監測到的3月份外網對Weblogic組件網路路徑「/wls-wsat/CoordinatorPortType」的請求量,可見3月10日之後對該路徑請求量直線上升,單日請求量最高達到30w。

圖1

現階段只攻擊Windows伺服器

更新後的「WannaMine」使用cve-2017-10271攻擊外網Weblogic服務。該漏洞在2017年底曾被大量用於植入挖礦機。圖2展示了「WannaMine」使用的payload,payload最終在目標計算機上執行PowerShell腳本,可見現階段的攻擊只對Windows伺服器奏效。

圖2

殭屍程序中配置兩個未開啟的爆破模塊,目標為MSSQL和PHPMyAdmin

在對「WannaMine」新版本殭屍程序的分析中我們發現其配置了針對MSSQL和PHPMyAdmin爆破模塊。這兩個模塊使用內置的字典對MSSQL和PHPMyAdmin資料庫進行弱口令爆破。對MSSQL爆破成功後,將在MSSQL中執行PowerShell命令;對PHPMyAdmin爆破成功後,向C&C發送使用的帳號和密碼。圖3展示了爆破MSSQL成功後所執行的命令。

圖3

「WannaMine」內置的弱口令字典包含上百組弱口令,雖然現階段尚未使用爆破功能,但其潛在威脅不容小覷。

「WannaMine」依然沿用「無文件」攻擊技術,並可一鍵轉化為後門

新版本的「WannaMine」依然沿用舊版本的」無文件「攻擊技術,所有的惡意行為都來自PowerShell進程。圖4展示了「WannaMine」所使用的「無文件」攻擊流程。

圖4

「WannaMine」的「無文件」攻擊使用了反射PE注入(ReflectivePEInjection)技術,該技術能有效躲避殺毒軟體的查殺。

除了進行挖礦外,「WannaMine」還可以通過接收C&C發出的指令轉化為後門。當C&C向「WannaMine」下發命令「CMD」和「ScreenShot」時,「WannaMine」將執行相應的命令並對屏幕進行截圖。表1展示了「WannaMine」所接收的指令與對應的功能,目前「WannaMine」的C&C地址為hxxp://123.59.68.172/Cache/Tunnel.php。

表1

新版本的「WannaMine」尚在發展期,正在對隨機ip進行攻擊

「WannaMine」在3月10日進行更新,而直到3月17日「WannaMine」才向目標計算機中植入挖礦機,在這一個禮拜的時間內,「WannaMine」利用已控制的殭屍機對隨機ip發起攻擊。圖5展示了目前「WannaMine」C&C對被控殭屍機發出的命令。

圖5

新版本的「WannaMine」目前仍處在擴張自身規模的發展期,任何ip地址都可能成為其攻擊目標。及時更新Weblogic服務端組件是抑制「WannaMine」擴張的最好辦法。

結語

2017年下半年起,入侵伺服器挖礦的攻擊事件頻頻發生,這些入侵攻擊大多數依賴已公開的Nday漏洞或者弱口令爆破。在漏洞利用方面,Weblogic反序列化漏洞CVE-2017-10271以及struts2漏洞s2-045是攻擊者最喜歡使用的兩個Nday漏洞;在弱口令爆破方面,資料庫和遠程桌面備受攻擊著青睞。對此,伺服器管理員需要對此進行針對性防禦,及時為系統及對外開放的服務打補丁,並使用強度較大的登錄口令。

附錄

IOC

hxxp://123.59.68.172/putout/DL.ps1

hxxp://123.59.68.172/putout/Neutrino.ps1

hxxp://123.59.68.172/Cache/Tunnel.php

hxxp://123.59.68.172/Cache/DL.php

hxxp://123.59.68.172/cache/x64.ps

相關報告

http://www.freebuf.com/articles/paper/157537.html

https://motherboard.vice.com/en_us/article/yw5yp7/monero-mining-wannamine-wannacry-nsa

https://www.crowdstrike.com/blog/cryptomining-harmless-nuisance-disruptive-threat/

https://www.pandasecurity.com/mediacenter/pandalabs/threat-hunting-fileless-attacks/


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 威客安全 的精彩文章:

讓無人車把人認成狗,一名學生三天攻破谷歌論文里的AI防火牆
數據操縱將不復存在,區塊鏈才是未來?

TAG:威客安全 |