垃圾郵件攻擊活動濫用PHP函數實現駐留,並使用被入侵的設備繞過檢測
蜜罐系統檢測到一個使用被黑設備來攻擊有漏洞的web伺服器的垃圾郵件攻擊活動。在暴力破解弱訪問憑證後,攻擊者用這些被黑的設備作為代理轉發base64編碼的PHP腳本到web伺服器。腳本會發送含有到垃圾郵件站點的嵌入鏈接到特定的郵件地址。
研究人員發現其中一些樣本是垃圾郵件,會重定向用戶到加密貨幣垃圾郵件站點,垃圾郵件殭屍網路的路徑可以用來傳播惡意軟體到更多系統和有漏洞的伺服器。因為使用被黑的設備來發送惡意鏈接,因此如果被用於更大的攻擊的話,就很難來識別其歸屬。而且,使用PHP web shell和函數不僅可以進行入侵和感染,還可以讓攻擊者在漏洞利用打補丁後仍然可以訪問伺服器。該攻擊活動從5月開始活躍,主要目標是位於英國的用戶。
攻擊鏈
圖1. 垃圾郵件攻擊鏈
惡意攻擊者首先通過暴力破解獲取設備的SSH訪問許可權,然後用埠轉發方法來發送惡意PHP腳本到web伺服器。
圖2. 攻擊者通過暴力破解獲取到蜜罐的SSH訪問許可權
從被黑的設備中,可以看到base64編碼的字元串數據會發送到目標web伺服器,研究人員將其提取出來並保存為文件。研究人員分析發現start_cache1.php 應該是一個偽造的PHP web shell,用來翻譯攻擊者的shell命令,而腳本路徑/wp-snapshots/tmp/start_cache1.php表明這是一個被黑的wordpress站點。這表明攻擊者即使漏洞修復後仍然可以繼續訪問受感染的伺服器。此外,根據解碼的PHP腳本,垃圾郵件會發送給特定的郵件地址,如圖4所示:
圖3. Base64編碼的PHP腳本
圖4. 發送給特定郵件地址的垃圾郵件
其他函數包括register_shutdown_function, 可以在腳本執行完成後啟用函數。濫用了PHP回調Register Shutdown Function Webshell,這在之前的一個攻擊活動中被用於安裝後門。
圖5. PHP腳本中的其他函數
圖6. 含有嵌入鏈接的垃圾郵件樣本
被黑的web伺服器發送的垃圾郵件中含有重定向到欺詐站點的鏈接。雖然看起來很類似,但鏈接會重定向到不同的站點,主要攻擊位於英國的用戶。
圖7. 點擊郵件中的鏈接重定向用戶到惡意站點
圖8. 另一個偽造的惡意站點示例
點擊欺詐站點中的任一鏈接可以重定向用戶到一個加密貨幣交易站點的signup頁面。服務聲稱是免費的,但用戶會被要求在帳戶中存入250美元。
圖9. 加密貨幣交易欺詐站點
圖10. 要求用戶存入seed money才能交易的站點
結論
攻擊活動背後的攻擊者並非業餘愛好者,而是專業人士。通過使用被黑的設備,安全研究人員和分析師就更難對攻擊進行追蹤和溯源。研究人員懷疑惡意攻擊者掃描開放的SSH埠來找到暴露的設備,然後暴力破解口令,最後發送惡意PHP腳本等。此外,欺詐的惡意網站看起來就像是真的加密貨幣交易站點一樣,但研究人員認為攻擊者並不單單只是為了掙這點seed money,而是用更有效的方法來安裝更多的惡意軟體或後門,這樣就可以在設備打補丁修復後仍然感染被黑的系統。這些被黑的設備和伺服器成為網路後也可以用來盈利。
研究人員建議用戶不要隨機點擊郵件中的鏈接,如果使用的是默認憑證或弱口令,那麼要儘快修改,並且要盡量避免啟用非必要的埠來防止攻擊。
