向Web服务器投递恶意挖矿软件的蠕虫-黑客接单平台

访客5年前黑客文章1043
实践中,面向公共互联网供给服务的体系或服务器,都是处于边际方位的。所以无论是物联网设备仍是企业级服务器,只要能被外界访问到,那就会无时无刻被进犯。 最近,咱们发现了一种进犯 *** ,多个公司Apache Tomcat Web服务器重复遭受感染。一般由于忧虑端点反病毒软件会下降服务器的功用或形成服务器不稳定,所以服务器办理员并没有装置相应的防护东西。明显,这种主意在现在看来很过期。 这种情况下,尽管服务器办理员保证现已将操作体系及Apache组件更新到最新版别,但每逢处理完感染问题没多久,又呈现了相同的问题。 走运的是,服务器办理员供给了捕获到的包括进犯行为的 *** 数据包。这种进犯看起来很眼熟,由于在咱们布置的蜜罐中,就曾见到这种自动化投递歹意挖矿软件的进犯行为。可是在这之前,还未见过在野进犯成功的事例,所以咱们决议经过剖析捕获的数据包来解说这次进犯是怎么施行的。 猫(Tomcat)和老鼠 侵略成功的根本原因在于办理员在Tomcat办理页面中运用了弱口令。初始阶段的进犯是在Tomcat办理面板对登录凭证进行暴力破解,一旦进犯者成功以办理员身份登录,那一切都完了。 在得到正确的登录凭证后,进犯者会对服务器建议HTTP POST恳求,如下图所示: 图1:进犯者经过HTTP POST上传新的的admin.jsp页面 在Tomcat办理页面答应办理员以扩展名为.war的文件方式将Web运用程序上传到服务器。此刻进犯者上传了一个名为admin-manager.war的.war文件,该文件中包括了一个名为admin.jsp的歹意 *** P文件。一旦该文件被外部进犯者调用,就会生成方针服务器装备信息文件。 admin.jsp文件如下所示: 图2:admin.jsp文件搜集方针体系的装备信息,并能够履行指令 Admin.jsp有三个功用:搜集体系装备信息,在Apache服务器上创立新文件,以及运用Web服务器帐户的权限在服务器上履行指令。 进犯者能够运用“ act ” 指令(猜想为“action”的简写),指定相应参数,然后加上一个或两个选项。三个参数(SI,、SH、 UF)用处如下:System Information (act=SI)System Information函数将回来比如OS、主机名、用户名等信息。 File Creation (act=UF)当“upload file”被调用,进犯者所发送的Base64字符将写入到Apache服务器的一个文件中。 Command execution (act=SH)取决于正在运转Tomcat服务器的操作体系,此“shell”指令将测验运用/ bin / bash(* nix服务器)、Windows指令行或PowerShell履行指令。还支撑对指令字符串进行Base64编码。 两个选项的阐明如下: String Parameter1 = request.getParameter ( “p1” ) 假如参数为SH代表内容进行Base64编码 假如参数为UF代表为文件命名 String Parameter2 = request.getParameter ( “p2” ) 假如参数为SH代表True 假如参数为UF代表将Base64转为blob 挖矿软件投递 例如,进犯者一开始会向服务器建议字段内容为act = SI的HTTP POST恳求,服务器的呼应如下图: 图3 从回来中能够看出这个Tomcat布置在64位Windows Server 2012核算机上,还回来了主机称号(为了隐私,咱们打了马赛克),以及歹意.jsp文件的寄存途径。至于标题中的“Hello,Peppa!(你好,佩奇)”,咱们猜想进犯者可能是小猪佩奇的粉丝。 出于某种原因,进犯者履行两次此指令,彼此相隔一秒。 接下来,进犯者宣布了一个action= SH&p2 = True&p1 =(base64)的“SH”指令,如下所示: 图4 解码后如内容下: 图5 该脚本首先会测验杀死WMIC.exe,RegSvr32.exe和PowerShell.exe进程,然后查看体系是否存在PowerShell 1.0的文件途径(%systemroot% System32 WindowsPowerShell v1.0 PowerShell.exe)。假如它在体系中找到该途径,将履行base64编码中的blob数据(上图中黄色高亮显现部分)。 假如脚本找不到PowerShell的途径,它将运用RegSvr32.exe从C2服务器下载并履行名为init.gif的文件。并运用脚本com目标(scrobj.dll)来履行init.gif的内容。 在PCAP中,能够看到进犯者履行指令后服务器的呼应。如下图,进犯者宣布指令时服务器未运转以上三个进程,所以这部分指令没有并履行成功。 [1][2][3]黑客接单网

相关文章

某网站缝隙排查经历

 在这儿共享一些之前对某网站会员/用户体系(一般域名都是passport.xx.com)进行缝隙检查查出的一些问题,这些问题大多都是逻辑类缝隙,运用缝隙进行进犯并不需求什么深邃的技能才干,所以损害特别...

Trickbot参加长途使用凭据盗取功用

2019年11月,Trend Micro研究人员发现一个含有暗码盗取模块的Trickbot变种,该暗码盗取模块能够从很多的运用中盗取凭据。2019年1月,研究人员发现一个参加了多个功用的Trickbo...

小白的代码审计之路

 此文由猪八戒SRC,代码审计小鲜肉“呆呆的骗子大婶”倾情贡献~欢迎勾搭! 一、 代码 审计指令注入 PHP自带的函数中供给了几个能够履行体系指令的函数,在web项目的开发中一般是不会用到的,但...

探寻如何绕过WAF的XSS检测机制-黑客接单平台

一、前语 本文提出了一种清晰界说的办法,即通过勘探假定出检测歹意字符串的规矩并编写Payload,来绕过跨站脚本进犯(XSS)的安全防备机制。咱们提出的办法共包含三个阶段:确认Payload结构、勘探...

中、小企业怎么自建免费的云WAF

概述 WEB进犯是十几年来黑客进犯的干流技能,国内的大厂们早已把WAF作为安全基础设施的标配,市面上也有许多安全厂商供给了WAF产品或云WAF服务。 关于没有自己安全团队,却又饱尝sql注入、xss...

8个增强 PHP 程序安全的函数

 安满是编程十分重要的一个方面。在任何一种编程言语中,都供给了许多的函数或许模块来保证程序的安全性。在现代网站运用中,常常要获取来自世界各地用户的输入,可是,咱们都知道“永久不能信任那些用户输入的数据...