恶意软件利用WebLogic漏洞感染主机进行挖矿

背景

根据其他情况分析,在PaloAlto上发现如下日志信息:

时间节点跟客户发现问题的时间节点基本一致,由此怀疑该恶意文件是由72.11.140.78这个地址入侵发送进来的。接下来就是从防火墙上deny掉这个源地址的所有请求。从日志里面看到,该文件是从72.11.140.178的80端口发送到内网服务器的随机端口,由此可以判断应该是通过漏洞入侵,然后控制服务器利用正常的防火墙策略(内网访问外网的80端口)与控制服务器进行连接,然后下载恶意文件。

从其它途径了解到该恶意文件是黑客先入侵一个WebLogic的漏洞,然后通过这个漏洞下载该恶意文件连接外部挖矿网站进行挖矿。

从今天互联网上暴露的消息来看,在当时该漏洞应该是一个零日漏洞,直到今天(22日)下午才带上CVE编号公布出来。

漏洞详情

黑客利用WebLogic反序列化漏洞(CVE-2017-3248)和WebLogicWLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。

该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。

漏洞参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

排查方式:

1.网络流量:

通过防火墙检查内网哪些主机与IP 72.11.140.178进行过连接。

2.检查主机日志中是否出现以下字符串:

对于Linux 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program "cmd.exe":java.io.IOException: error=2, No such file or directory

对于Windows 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

若出现,则说明系统已被入侵。

解决方法:

1、安装Oracle官方十月份发布的补丁。Oracle官方四月份补丁对该漏洞修复不彻底,可以绕过补丁,依旧执行远程命令。目前绕过的漏洞在官方发布的十月份的补丁中已修复。

2、如果无法及时安装WebLogic的补丁,安全产品又还没有对应的特征库进行检查,就从防火墙上建立策略来阻止入侵。

B、阻止72.11.140.178的连接

3、WAF临时解决方案

Imperva用户设置下面策略应用的weblogic site,如果已经感染请加载策略并且重新启动weblogic进行防护。

更多安全资讯请关注信和领创公众号!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171222G0XLFD00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券