猎奇新闻
当前位置: 猎奇新闻   >   科技   >   正文

警惕丨WebLogic漏洞攻击集中爆发,政企用户需格外留意

2018-01-10 09:55中睿天下
分享:

攻击事件概述

近日,中睿天下部署在用户处的「睿眼」设备,抓到数起黑客利用WebLogic漏洞对服务器发起的攻击行为,并作出致命等级的未知威胁告警。

进一步分析后,基本确定是利用WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)攻击,拿到系统权限后,下载并执行矿机程序进行虚拟货币挖矿。

与2017年12月爆发的Weblogic漏洞挖矿事件相比,此次攻击更恶劣的是为获取更高的CPU占用率杀掉用户的非矿机进程,从而导致用户主机宕机,严重影响正常的业务。

此次攻击使用的门罗币矿机程序为XMRig,代码托管在平台GitHub。而其利用的WebLogic XMLDecoder反序列化漏洞,早在2017年9月睿眼就已发现针对此漏洞的攻击。

目前该漏洞处于集中爆发期。「部委、银行、能源」等用户均已受到影响,大量主机失陷,预计后续会有更多的用户受到影响。

中睿天下已立刻成立应急响应小组,级别为红色。

▲ 「睿眼」9月告警WebLogic漏洞攻击

攻击过程分析IP扫描:攻击者在互联网上扫描存在CVE-2017-10271漏洞的机器,确定攻击目标IP。漏洞利用:攻击者对筛选出的IP发动攻击,利用此漏洞获得命令执行的权限。矿机植入:漏洞利用成功后,会去指定位置下载适合目标系统的挖矿工具进行挖矿,并伴随顽固启动程序。杀掉进程:挖矿程序启动后,强行停止占用CPU过高的进程,导致业务中断。

样本分析

该命令执行脚本主要提供下载功能和杀掉主机上占用cpu高的进程。

详细分析命令执行脚本(详情见文末附录),中睿天下发现黑客主要通过构造以下几个模块顺序攻击:

 checkCmd() //检查操作系统

 pkill python; pkill perl; pkill $mName //首先杀掉所有python、perl、java脚本;

 downloader () //提供wget、curl、python、socket四种下载方式下载矿机程序;

 runer() //当检测到服务器不存在挖矿程序时,立即下载挖矿程序,存为"java" ,修改为最高权限,并调起;

 killer() //检测到服务器中存在cpu占用超过60%,且非矿机的进程,直接杀掉;

 while语句 //循环执行该命令;

今日热点

特别推荐

热点排行

相关推荐

为你推荐

猎奇
首页