殭屍網路 Muhstik 正在積極利用 Drupal 漏洞 CVE-2018-7600 蠕蟲式傳播

2018年3月28日，Drupal.org 公布了漏洞 CVE-2018-7600 的修復方案。Drapal 是一個開源的內容管理系統，由PHP語言寫成，有很多網站使用 Drupal 向外提供網頁服務。本次漏洞存在於 Drupal 的多個版本中，攻擊者可以利用該漏洞完全控制網站。

從2018年4月13日開始，360網路安全研究院觀測到互聯網上有大量針對該漏洞的掃描。通過分析，我們認為有至少3組惡意軟體在利用該漏洞傳播。其中一組惡意軟體有蠕蟲傳播行為，感染量顯著比其他的惡意軟體更多。分析後，我們認為這是一個長期存在的殭屍網路家族。我們將其命名為 muhstik，這主要是因為其二進位文件名和通信協議中多處包含了這個字元串。

我們認為 muhstik 有以下特點值得社區關註：

蠕蟲式傳播

長期存在

使用的漏洞利用數目眾多

混合使用了多種牟利方式

攻擊載荷

按照時間順序，Muhstik使用了下面兩組攻擊載荷，這兩組載荷佔據了全部看到的載荷的80%左右，是我們看到的攻擊的主要部分：

#1 活躍時間：2018-04-14 03:33:06~ 2018-04-17 15:40:58

#2 活躍時間：2018-04-16 19:38:39~至今

對應的攻擊來源，其 IP 地址非常分散，而且基本都運行著 Drupal 程序。攻擊來源自身是攻擊載荷的易感染目標，這是蠕蟲式傳播的重要指標，引起了我們的警覺。

兩組攻擊載荷的詳細信息如下：

樣本 aiox86 導致了上述攻擊載荷 #2

有以下關鍵樣本：

我們認為上述樣本 aiox86 及其相關樣本產生了前述攻擊載荷：

#2 攻擊載荷，存在於該樣本中

#1 攻擊載荷與 #2 非常相似，我們認為應該是該樣本的相關樣本產產生

下圖是樣本脫殼後的部分片段，與 #2 攻擊載荷完全一致。

事實上，該樣本的掃描行為已經比較複雜，遠不止前述針對 drupal 漏洞的掃描：

掃描目標IP地址：會從遠端伺服器 191.238.234.227 獲取目標IP地址，這樣攻擊者可以對攻擊目標有較為靈活的控制；

投遞漏洞載荷：不僅限於 Drupal，還包括另外 6 種漏洞載荷；

掃描目標埠：不僅限於 TCP 80，還包括TCP埠 8080, 7001, 2004；每個埠上會嘗試若干不同載荷；

掃描結果上報：載荷植入成功後，會訪問遠端伺服器 51.254.219.134 上報，不同載荷訪問不同的URL。通過這種方式，攻擊者可以很輕易的識別受害者的弱點。

獲取掃描目標IP地址：

所投遞的漏洞載荷：

掃描目標埠與載荷的對應關係：

載荷上報信息介面：

樣本aiox86 是由 Muhstik 殭屍網路分發的

在 360網路安全研究院，我們持續的監控諸多殭屍網路的攻擊指令。本次我們發現，139.99.101.96:9090 控制伺服器，在2018-04-19 04:04附近，通過下述指令分發了樣本 aiox86：

上述C2，隸屬於 Muhstik 殭屍網路家族。

Muhstik 殭屍網路家族

Muhstik 是 Tsunami 殭屍網路的一個變種，其特點包括：

代表樣本： c37016e34304ff4a2a0db1894cdcdb92

C2伺服器： 域名/IP地址共計11個，見後，埠均為 9090。我們猜測這是為了負載均衡

通信協議： 基於IRC服務協議，通過不同的Channel發送不同指令

IRC Channel：我們觀察到有多個IRC Channel，均以 muhstik 開頭。目前我們並不完全確認每個C2伺服器上具體開通了哪些Channle，這是由IRC協議本身的特性決定的，僅在我們接收到對應Channel里的通信指令時，才能確認攻擊者在該伺服器上開通了該Channel

Muhstik 殭屍網路的結構已經比較複雜了，如前所述，樣本中硬編碼了11個C2域名/IP。除此之外，其傳播和獲利方式也多種多樣。

Muhstik 的傳播模塊：

aioscan掃描模塊：如前所述，該掃描模塊里包含了4個埠上6種掃描載荷

SSH掃描模塊：弱口令掃描

Muhstik 的獲利方式：

xmrig 挖礦：挖取XMR數字代幣，對應的礦池地址是147.135.208.145:4871，自建礦池。

cgminer挖礦：挖取BTC數字代幣，使用了多個礦池，用戶名均為reb0rn.D3

DDoS 攻擊：我們在2018-04-19 當天 07:20~07:40期間，截獲多條針對 46.243.189.102 的攻擊指令。（在我們的DDoSMon.net沒有看到這次攻擊，但是看到了較早前針對該IP地址的多次攻擊）

Muhstik cgminer 錢包和礦池地址：

Muhstik C2 列表，按照其在樣本中硬編碼的順序：

IRC Channel，字母序：

我們監聽這些 IRC Channel時獲取到若干指令，部分指令如下，截圖依次見後：

#muhstik-x86 #植入xmrig64挖礦程序；

#muhstik-x86 #植入Muhstik.aioscan掃描模塊

#muhstik-x86 #探測bot是否有drupal存在

#muhstik #植入Muhstik.aioscan掃描模塊

#muhstik #發出DDoS攻擊指令；

#muhstik-SSH #cgminer 挖礦程序的配置文件；

#muhstik-SSH #竊取本地保存的ssh憑證，進一步橫向擴展，投遞自身，實現蠕蟲式傳播

#muhstik-SSH #執行SSH掃描

#muhstik-i586 #植入 Muhstik.aioscan

#muhstik-i586 #植入xmrig32挖礦程序

Muhstik 可能來源已久

通過對 Muhstik 相關域名的歷史溯源，我們發現 Muhstik 由來已久，跟以下域名有較為強烈的關聯關係。

IoC

Muhstik C2 List

Muhstik Malware URL

Muhstik Malware MD5

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！