Windows伺服器管理員且注意 黑客正利用IIS 6.0漏洞挖掘加密貨幣

「用指尖改變世界」

F5研究室的研究人員在最近發現了一場新的黑客攻擊活動，旨在利用一個存在於IIS 6.0中的漏洞來劫持Windows伺服器，並安裝用於挖掘以太坊（Electroneum）加密貨幣的惡意軟體。

被黑客利用的漏洞被追蹤為CVE-2017-7269，這是一個由我國國內的兩位研究人員於2017年3月發現的影響IIS WebDAV服務的緩衝區溢出漏洞，成功利用可導致遠程代碼執行。

這個漏洞自2016年6月以來就一直存在，也就是說直到被發現，它已經存在了近9個月的時間，並且在被發現時就已經在某些攻擊活動中被利用。

IIS 6.0發佈於2010年11月，通常伴隨著Windows Server 2003和Windows XP一起被提供。微軟最初表示，它並不打算修復這個漏洞。因為在漏洞披露的兩年前，微軟就已經將IIS 6.0 置於「終止支持」狀態。

不過，由於該漏洞與黑客組織Shadow Brokers（影子經紀人）於2017年4月泄露的EXPLODINGCAN NSA漏洞利用存在共同特點，最終於2017年6月中旬得到修復。

儘管已經被修復，但自從被披露以來，該漏洞就被至少一個黑客組織利用來劫持仍在運行IIS 6.0的Windows伺服器，用於部署加密貨幣礦工。網路安全公司ESET就在2017年報告稱，這個漏洞被濫用來挖掘門羅幣（Monero ）。

F5研究室的研究人員表示，在新的攻擊活動中，攻擊者幾乎照搬了由研究人員發布的概念驗證（POC）代碼，但嵌入了不同的shellcode以執行其發出的命令。

攻擊者利用CVE-2017-7269提供了一個ASCII shellcode，其中包含一個返回導向編程（ROP）漏洞利用鏈，可在易受攻擊的伺服器上安裝反向shell。然後，攻擊者會使用這個反向shell來下載礦工（XMRig 2.5.2）並開始挖掘過程。

不僅如此，攻擊者還使用了一種被稱為「Squiblydoo」的攻擊技術來將礦工偽裝成合法的lsass.exe（本地安全機構子系統服務）進程來掩蓋感染進程。

根據攻擊者加密貨幣錢包顯示的信息來看，這場活動似乎並不算太成功。截止到上周，攻擊者僅賺取到了大約99美元。F5研究室的研究人員表示，這可能來自兩個原因：一是攻擊者會經常更換錢包地址，二是已經沒有太多的IIS 6.0伺服器可供利用。

儘管攻擊者尚未能夠在這場攻擊活動中賺到多少錢，但它還是至少讓我們看到，即使某些軟體或者服務已經到了「生命末期」，但它們仍會是攻擊者為獲得價值的攻擊目標。

雖然淘汰老舊設備對於某些企業來說並不容易，但在修補程序發布後立即進行安裝，我們相信這是所有企業都能夠做到的，而這樣簡單的一個操作卻能夠讓企業避免很多潛在的安全威脅。即使無法及時修復，創建防火牆規則或將關鍵設備置於專用網路中也應該是各企業網路管理人員首先應該考慮採取的安全措施。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！