威胁研究正文

通报:腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散,可使用防火墙阻截

2021-07-08 03:28:40

腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,未部署任何安全防护系统的失陷云主机数已达数千台,已部署腾讯云防火墙的云主机成功防御此轮攻击。

一、概述

腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰,一次在7月3号,一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击,7月4日Mirai僵尸网络木马攻击的规模更大,已部署腾讯云防火墙的云主机成功防御此轮攻击。

{xunruicms_img_title}

 

BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分活跃的僵尸网络家族,这两个僵尸网络家族多用高危漏洞利用做为入侵手段,腾讯安全研究人员发现这两个团伙正在利用YAPI接口管理平台远程代码执行漏洞发起攻击,目前该漏洞暂无补丁,处于0day状态。


【最新更新】

据腾讯安全威胁情报中心7月8日晚间追踪到的最新数据,利用YAPI接口管理平台远程代码执行漏洞攻击的黑产团伙新增Mirai变种,该家族以往主要入侵智能硬件设备(路由器、网络摄像头等),其行为主要是组建僵尸网络发起DDoS攻击。


利用YAPI接口管理平台远程代码执行漏洞攻击传播的恶意木马家族IOCs文末已更新。

 

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。腾讯安全网络空间测绘数据显示,国内采用YAPI接口管理平台的服务器上万台,主要分布于浙江、北京、上海、广东等省市(占比超过80%)。

{xunruicms_img_title}

 

因YAPI远程代码执行0day漏洞暂无补丁,BillGates僵尸网络与Mirai僵尸网络木马家族主要利用受控主机进行DDoS攻击、留置后门或进行挖矿作业。腾讯安全专家建议采用YAPI接口管理平台的政企机构尽快采取以下措施缓解漏洞风险:

1.      部署腾讯云防火墙实时拦截威胁;

2.      关闭YAPI用户注册功能,以阻断攻击者注册;

3.      删除恶意已注册用户,避免攻击者再次添加mock脚本;

4.      删除恶意mock脚本,防止再被访问触发;

5.      服务器回滚快照,可清除利用漏洞植入的后门。

 

腾讯安全威胁情报系统已支持自动化输出告警事件详细分析报告,方便安全运维人员获得更丰富的情报信息,以便对告警事件进行回溯处置。

{xunruicms_img_title}

 

腾讯安全旗下全系列产品已经支持对YAPI接口管理平台远程代码执行漏洞的利用进行检测防御:

{xunruicms_img_title}

二、腾讯安全解决方案

BillGates家族与Mirai家族相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

 

腾讯安全威胁情报中心检测到利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动已影响数千台未部署任何安全防护产品的云主机,腾讯安全专家建议政企机构公有云系统部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。

 

腾讯云防火墙支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。

{xunruicms_img_title}

 

{xunruicms_img_title}

 

已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现,腾讯主机安全(云镜)可对攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

{xunruicms_img_title}

 

私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

{xunruicms_img_title}

 

企业客户可通过旁路部署腾讯天幕(NIPS)实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、YAPI接口管理平台0day漏洞分析

YAPI接口管理平台是某互联网企业大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务。该平台被国内众多知名互联网企业所采用。

 

其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。

{xunruicms_img_title}

 

由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。

 

该漏洞暂无补丁,建议受影响的企业参考以下方案缓解风险:

1.      部署腾讯云防火墙实时拦截威胁;

2.      关闭YAPI用户注册功能,以阻断攻击者注册;

3.      删除恶意已注册用户,避免攻击者再次添加mock脚本;

4.      删除恶意mock脚本,防止再被访问触发;

5.      服务器回滚快照,可清除利用漏洞植入的后门。

四、详细分析

攻击脚本

攻击者首先注册功能先注册账号,登录账号后才能自定义mock脚本。

{xunruicms_img_title}

 

攻击者通过mock脚本中植入恶意命令,待用户访问mock接口发起请求时触发命令执行。

木马文件

7.1号以来主机侧累计利用该漏洞捕获到的木马文件

{xunruicms_img_title} 

木马文件详细信息:

url

家族

md5

hxxp://89.40.73.49:2653/VAPE.exe

BillGates

链接已失效

hxxp://89.40.73.49:2653/indexa

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://89.40.73.49:2653/index

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://89.40.73.49:2653/9.exe

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://82.118.235.109/WSW0

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://66.42.103.186/hang/x86_64

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://45.116.79.57:8080/selver

BillGates

56b157ffd5a4b8b26d472395c8d2f7dc

hxxp://45.10.24.31/x86_64

BillGates

c303c2fff08565b7977afccb762e2072

hxxp://3w.kacdn.cn/30000

Mirai

链接已失效

hxxp://37.49.230.51/bot.x86_64

Mirai

链接已失效

hxxp://37.49.230.51/bot.x86

Mirai

d375de4885f89511980b5821f1194412

hxxp://2w.kacdn.cn/20000

Mirai

f5e0d8f4feaf3987f455677095a075bf

hxxp://2w.kacdn.cn/20000

Mirai

1d1eac14b5defcabcce8b6d1693a9972

hxxp://27.50.49.62:81/26000

Mirai

0ceeedf40a11e6dea2efee8a33b92b81

hxxp://27.50.49.62:1231/mis

Mirai

8f0ba5defb37479477f34da985ea36dd

hxxp://27.50.49.62:1231/Linux64mm

Mirai

b91a9bf8bb9e3f21097f646d578b3ed1

hxxp://27.50.49.61:2131/SH

Mirai

81a7ff08950a20f22014d04040269ba3

hxxp://27.50.49.61:2131/chongfu.sh

Mirai

e9ddf9de17b5dba33c361ff77d1b454c

hxxp://27.50.49.61:1231/X64

Mirai

bd5bb4c0ff633102fc15569528080666

hxxp://27.50.49.61:1231/X64

Mirai

5835275b86370afaca052bb5981ed25c

hxxp://222.186.52.198:8082/xls

Mirai

face47744bdd948132c10ce3c4af33d7

hxxp://222.186.52.198:8082/Manager

Mirai

c303c2fff08565b7977afccb762e2072

hxxp://222.186.52.198:8082/ld

Mirai

86a5323d164e971659fffdff19fef7e2

hxxp://216.83.33.79:8080/syn

Mirai

c303c2fff08565b7977afccb762e2072

hxxp://185.245.96.211/sora.sh

Mirai

920828d3d2ca680b5614d7bc7dc893c6

hxxp://185.245.96.211/bins/ppc

Mirai

3b904f9bc4f8f504598127ed702c3e1e

hxxp://185.245.96.211/bins/mpsl

Mirai

0b39ec00802b1355bad8c5d82b5c01bb

hxxp://185.245.96.211/bins/mips

Mirai

链接已失效

hxxp://185.245.96.211/bins/m68k

Mirai

b3e09046c5581f80448c65461544a028

hxxp://185.245.96.211/bins/arm7

Mirai

12879ee31d658274341f14c4690ea279

hxxp://185.245.96.211/bins/arm6

Mirai

351f0be8265c84bb834d693bdbc5d93a

hxxp://185.245.96.211/bins/arm5

Mirai

de0ae2b4f570fd7ce3b5af98bce31d65

hxxp://185.245.96.211/bins/arm4

Mirai

3b904f9bc4f8f504598127ed702c3e1e

hxxp://152.89.239.4/x86_64

Mirai

3b904f9bc4f8f504598127ed702c3e1e

hxxp://117.24.13.169:991/25000

Mirai

3b904f9bc4f8f504598127ed702c3e1e

hxxp://117.24.13.169:881/KaBot

Mirai变种

247201036cf30db2d87caccde6a9791a

hxxp://117.24.13.169:881/BOT

Mirai变种

a26b62b61e8728d7626651dc5d35f60a

hxxp://117.24.13.169:881/256

Mirai变种

df31cb7580f76b0619b46c216bbacf37

hxxp://117.24.13.169:664/botmm/x86_64

未知

链接已失效

hxxp://117.24.13.169:118/2771

未知

链接已失效

hxxp://107.189.7.37:802/Manager

未知

链接已失效

hxxp://107.189.7.37:802/linuxdoor

未知

链接已失效

 

本次攻击投递的木马文件未发现新变种,但漏洞利用速度极快7.2号出现攻击事件之后,短短一周已有上千台主机失陷,目前官方尚无补丁可用,受影响的客户需要在主机侧关闭用户注册与脚本添加权限,已失陷主机需尽快回滚服务器快照。

 

BillGates僵尸网络木马及Mirai僵尸网络木马和以往的版本并无差异,这里不再赘述。

威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放YAPI注册服务。

资源开发

YAPI平台注册开发者账号

初始访问

利用对外开放的mock脚本添加服务,植入恶意命令

执行

触发接口调用,执行恶意命令

影响

驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

 

IOCs

MD5

0b39ec00802b1355bad8c5d82b5c01bb

0ceeedf40a11e6dea2efee8a33b92b81

12879ee31d658274341f14c4690ea279

1d1eac14b5defcabcce8b6d1693a9972

247201036cf30db2d87caccde6a9791a

351f0be8265c84bb834d693bdbc5d93a

3b904f9bc4f8f504598127ed702c3e1e

56b157ffd5a4b8b26d472395c8d2f7dc

5835275b86370afaca052bb5981ed25c

81a7ff08950a20f22014d04040269ba3

86a5323d164e971659fffdff19fef7e2

8f0ba5defb37479477f34da985ea36dd

920828d3d2ca680b5614d7bc7dc893c6

a26b62b61e8728d7626651dc5d35f60a

b3e09046c5581f80448c65461544a028

b91a9bf8bb9e3f21097f646d578b3ed1

bd5bb4c0ff633102fc15569528080666

c303c2fff08565b7977afccb762e2072

d375de4885f89511980b5821f1194412

de0ae2b4f570fd7ce3b5af98bce31d65

df31cb7580f76b0619b46c216bbacf37

e9ddf9de17b5dba33c361ff77d1b454c

f5e0d8f4feaf3987f455677095a075bf

face47744bdd948132c10ce3c4af33d7


URL

hxxp://107.189.7.37:802/linuxdoor

hxxp://107.189.7.37:802/Manager

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://117.24.13.169:881/256

hxxp://117.24.13.169:881/BOT

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:991/25000

hxxp://152.89.239.4/x86_64

hxxp://185.245.96.211/bins/arm4

hxxp://185.245.96.211/bins/arm5

hxxp://185.245.96.211/bins/arm6

hxxp://185.245.96.211/bins/arm7

hxxp://185.245.96.211/bins/m68k

hxxp://185.245.96.211/bins/mips

hxxp://185.245.96.211/bins/mpsl

hxxp://185.245.96.211/bins/ppc

hxxp://185.245.96.211/sora.sh

hxxp://216.83.33.79:8080/syn

hxxp://222.186.52.198:8082/ld

hxxp://222.186.52.198:8082/Manager

hxxp://222.186.52.198:8082/xls

hxxp://27.50.49.61:1231/X64

hxxp://27.50.49.61:2131/chongfu.sh

hxxp://27.50.49.61:2131/SH

hxxp://27.50.49.62:1231/Linux64mm

hxxp://27.50.49.62:1231/mis

hxxp://27.50.49.62:81/26000

hxxp://2w.kacdn.cn/20000

hxxp://37.49.230.51/bot.x86

hxxp://37.49.230.51/bot.x86_64

hxxp://3w.kacdn.cn/30000

hxxp://45.10.24.31/x86_64

hxxp://45.116.79.57:8080/selver

hxxp://66.42.103.186/hang/x86_64

hxxp://82.118.235.109/WSW0

hxxp://89.40.73.49:2653/9.exe

hxxp://89.40.73.49:2653/index

hxxp://89.40.73.49:2653/indexa

hxxp://89.40.73.49:2653/VAPE.exe


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询