示意圖,與新聞事件無關。

F5 Networks安全研究人員發現一項攻擊行動,利用 NSA之前被影子掮客(ShadowBroker) 外洩的攻擊工具入侵Apache Struts等漏洞入侵Windows及Linux伺服器, 以便利用受害者來挖Monero幣。

這項攻擊行動會在入侵的伺服器中種入帶有python scripts的zip檔,因而被F5研究人員稱為Zealot 。研究人員發現,Zealot行動中, 攻擊者先掃瞄連網伺服器上兩項漏洞,一是Apache Struts上的CVE-2017-5638及DotNetNuke (DNN) ASP.NET 內容管理系統的漏洞CVE-2017-9822。其中前者即為9 月間美國第三大信用卡Equifax遭入侵的同一漏洞,今年3月即已揭露及修補。後者則是今年7月被揭露。

細部分析之下,Zealot為一多階段攻擊。首先,針對Apahce Struts漏洞的攻擊行動對象同時涵括Windows及Linux伺服器。在Windows伺服器上,攻擊者利用NSA今年遭影子掮客團體外流的EnternalBlue和EternalSynergy攻擊工具在受害者本地網路上橫向移動,感染其他機器。接著使用PowerShell下載並安裝第二階段的惡意程式,即Monero採礦 程式。

而在Linux機器上則採用EmpireProject後攻擊(post-exploitation)框架的Python script,之後下載相同的Monero採礦程式。 研究人員Maxim Zavodchik及Liron Segal 指出,同時攻擊Windows和Linux系統也是Zealot和過去Apache Struts攻擊很不同的地方。

Monero近年成為愈來愈多網路犯罪者愛用的加密貨幣。 研究人員相信在這波行動中,駭客已經採到的Monero將近8, 500美元。

至於Zealot攻擊者對DNN的攻擊,則是透過在DNNPer sonalization cookie中傳送序列化物件,嵌入物件並呼叫shell指令,後者會執行PowerShell script,進而載入與Apache Struts漏洞攻擊相同的採礦程式。

F5研究人員指出,針對Apache Struts漏洞的Zealot行動是第一個利用NSA攻擊工具 ,在內部網路蔓延的Struts攻擊。過去使用NSA攻擊工具的行動,如NotPetya、WannaCry勒贖軟體和Adylkuzz採礦程式都是直接掃瞄SMB協定漏洞,然而Zealot 則是開啟新攻擊面向,是利用web應用漏洞將惡意程式送入內部網路。同時Zealot使用的手法,又比一般殭屍程式作者更為高明。

研究人員建議企業應儘速修補已經公佈的漏洞,同時使用Web應用防火牆多加一層防護。


Advertisement

更多 iThome相關內容