专栏首页腾讯安全腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正扩散,可使用防火墙阻截
原创

腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正扩散,可使用防火墙阻截

一、概述

腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰,一次在7月3号,一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击,7月4日Mirai僵尸网络木马攻击的规模更大,已部署腾讯云防火墙(链接)的云主机成功防御此轮攻击。

​BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分活跃的僵尸网络家族,这两个僵尸网络家族多用高危漏洞利用做为入侵手段,腾讯安全研究人员发现这两个团伙正在利用YAPI接口管理平台远程代码执行漏洞发起攻击,目前该漏洞暂无补丁,处于0day状态。

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。腾讯安全网络空间测绘数据显示,国内采用YAPI接口管理平台的服务器上万台,主要分布于浙江、北京、上海、广东等省市(占比超过80%)。

因YAPI远程代码执行0day漏洞暂无补丁,BillGates僵尸网络与Mirai僵尸网络木马家族主要利用受控主机进行DDoS攻击、留置后门或进行挖矿作业。腾讯安全专家建议采用YAPI接口管理平台的政企机构尽快采取以下措施缓解漏洞风险:

1. 部署腾讯云防火墙实时拦截威胁;

2. 关闭YAPI用户注册功能,以阻断攻击者注册;

3. 删除恶意已注册用户,避免攻击者再次添加mock脚本;

4. 删除恶意mock脚本,防止再被访问触发;

5. 服务器回滚快照,可清除利用漏洞植入的后门。

腾讯安全威胁情报系统已支持自动化输出告警事件详细分析报告,方便安全运维人员获得更丰富的情报信息,以便对告警事件进行回溯处置。

腾讯安全旗下全系列产品已经支持对YAPI接口管理平台远程代码执行漏洞的利用进行检测防御:

二、腾讯安全解决方案

BillGates家族与Mirai家族相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

腾讯安全威胁情报中心检测到利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动已影响数千台未部署任何安全防护产品的云主机,腾讯安全专家建议政企机构公有云系统部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。

腾讯云防火墙支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。

已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现,腾讯主机安全(云镜)可对攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

企业客户可通过旁路部署腾讯天幕(NIPS)实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、YAPI接口管理平台0day漏洞分析

YAPI接口管理平台是某互联网企业大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务。该平台被国内众多知名互联网企业所采用。

其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。

由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。

该漏洞暂无补丁,建议受影响的企业参考以下方案缓解风险:

1. 部署腾讯云防火墙实时拦截威胁;

2. 关闭YAPI用户注册功能,以阻断攻击者注册;

3. 删除恶意已注册用户,避免攻击者再次添加mock脚本;

4. 删除恶意mock脚本,防止再被访问触发;

5. 服务器回滚快照,可清除利用漏洞植入的后门。

四、详细分析

攻击脚本

攻击者首先注册功能先注册账号,登录账号后才能自定义mock脚本。

攻击者通过mock脚本中植入恶意命令,待用户访问mock接口发起请求时触发命令执行。

木马文件

7.1号以来主机侧累计利用该漏洞捕获到的木马文件:

木马文件详细信息:

文件名称

文件MD5

文件家族

是否新变种

hxxp://2w.kacdn.cn/20000

c303c2fff08565b7977afccb762e2072

BillGates

hxxp://117.24.13.169:881/KaBot

56b157ffd5a4b8b26d472395c8d2f7dc

BillGates

hxxp://117.24.13.169:118/2771

56b157ffd5a4b8b26d472395c8d2f7dc

BillGates

hxxp://117.24.13.169:664/botmm/x86_64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

hxxp://66.42.103.186/hang/x86_64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

hxxp://27.50.49.61:1231/X64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

本次攻击投递的木马文件未发现新变种,但漏洞利用速度极快7.2号出现攻击事件之后,短短一周已有上千台主机失陷,目前官方尚无补丁可用,受影响的客户需要在主机侧关闭用户注册与脚本添加权限,已失陷主机需尽快回滚服务器快照。

BillGates僵尸网络木马及Mirai僵尸网络木马和以往的版本并无差异,这里不再赘述。

威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放YAPI注册服务。

资源开发

在YAPI平台注册开发者账号。

初始访问

利用对外开放的mock脚本添加服务,植入恶意命令

执行

触发接口调用,执行恶意命令

影响

驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

MD5

c303c2fff08565b7977afccb762e2072

56b157ffd5a4b8b26d472395c8d2f7dc

3b904f9bc4f8f504598127ed702c3e1e

URL:

hxxp://2w.kacdn.cn/20000

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://66.42.103.186/hang/x86_64

hxxp://27.50.49.61:1231/X64

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 漏洞情报|YAPI远程代码执行0day漏洞风险预警

    近日,腾讯主机安全(云镜)捕获到YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,大量未部署任何安全防护系统的...

    云鼎实验室
  • WordPress File Manager 存在任意代码执行漏洞,腾讯T-Sec Web应用防火墙已支持防御

    腾讯安全团队检测到 WordPress 插件 File Manager 被曝存在一个严重漏洞,攻击者利用该漏洞可以在含有 File Manager 的 Word...

    腾讯安全
  • WordPress File Manager 存在任意代码执行漏洞,腾讯T-Sec Web应用防火墙已支持防御

    腾讯安全团队检测到 WordPress 插件 File Manager 被曝存在一个严重漏洞,攻击者利用该漏洞可以在含有 File Manager 的 Wor...

    腾讯云安全
  • WebLogic接二连三被曝漏洞,到底是为啥?

    近日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),延续了前几年不断爆出的Webl...

    腾讯云安全
  • 腾讯云Web应用防火墙「网站管家」优惠-腾讯云优惠

    腾讯云 Web 应用防火墙(下文中也叫网站管家)( Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏...

    用户5899205
  • 中国「网络安全」的 12 大顶级企业实验室

    1994年公安部颁布了“中华人民共和国计算机信息系统安全保护条例”,这是我国第一个计算机安全方面的法律。

    CloudBest
  • 漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)

    2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind ...

    云鼎实验室
  • 腾讯御见捕获Flash 0day漏洞(CVE-2018-5002)野外攻击

    腾讯御见威胁情报中心近日监控到一例使用Adobe Flash 0day漏洞(CVE-2018-5002)的APT攻击,攻击者疑通过即时聊天工具和邮箱等把恶意Ex...

    FB客服
  • 安全产品不安全?僵尸网络瞄准SonicWall SSL V**

    近期,我们的威胁捕获系统捕获到一个利用SonicWall “Virtual Office” SSL V** RCE进行传播的Mirai dark系列变种,该系列...

    绿盟科技研究通讯
  • 黑客使用Sophos防火墙中的0day漏洞部署勒索软件

    黑客试图利用Sophos XG防火墙中的0day漏洞将勒索软件分发到Windows计算机,但遭到Sophos发布的修补程序阻止。

    FB客服
  • Adobe Flash零日漏洞 (cve-2018-4878)在野攻击预警分析

    概述 2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的Adobe Flash零日漏洞被发...

    FB客服
  • 2018年信息安全大事件一览

    回顾2018年,网络犯罪分子通过不断升级攻击手段,进一步提高攻击成功率并加速感染设备的数量。凭借拓展攻击渠道和变换手段,发动TB级别DDoS攻击、瞄准区块链各节...

    FB客服
  • 安全通告 | Jackson发布更新,披露多个反序列化安全漏洞

    近日,腾讯安全团队监控到 FasterXML Jackson 发布了新的cve漏洞(漏洞编号:CVE-2020-24616)同时腾讯安全团队监控到其官方团队发...

    腾讯云安全
  • 速扩散 !敲诈勒索病毒入侵99个国家,这样做可以免遭勒索

    5月12日,全球范围内99个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。其中英国的 NHS 服务受到了大规模的网络攻击,至少 40 家医疗机构内网被黑...

    腾讯高校合作
  • 诈勒索病毒席卷全球99个国家,做到这些让你免遭勒索!(最新策略)

    5月12日,全球范围内99个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。其中英国的 NHS 服务受到了大规模的网络攻击,至少 40 家医疗机构内网被黑...

    昱良
  • 以攻促防:企业蓝军建设思考

    2017年4月,黑客组织Shadow Brokers公布一批美国国家安全局(NSA)的网络漏洞军火库。背靠国家,NSA拥有强大的通杀型0day漏洞挖掘和利用能力...

    腾讯技术工程官方号
  • 腾讯安全应对勒索病毒,有解!

    据外媒报道,名为DarkSide的勒索软件攻击了美国主要的燃料管道商佐治亚州殖民地管道公司(Colonial Pipeline),该公司的燃油管道系统已被迫关闭...

    腾讯安全企业服务
  • WannaCry 勒索病毒用户处置指南

    2017年5月12日晚,勒索软件 WannaCry 感染事件爆发,全球范围99个国家遭到大规模网络攻击,被攻击者电脑的文件被加密,被要求支付比特币以解密文件。腾...

    云鼎实验室
  • 这个 Office 漏洞的年龄可能比有些白帽子还大

    能潜伏的不只有生物学上的病毒,还有网络中的病毒。 近日,宅客频道从腾讯电脑管家官方微博看到一则消息:腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本,并顺藤摸...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券