Drupal漏洞（CVE-2018-7602）用于传播Monero挖矿恶意软件

Trend Micro在上周发布的博客中指出墨者趋势科技杀毒软件，其安全团队最近观察到了一系列使用CVE-2018-7602的网络攻击墨者趋势科技杀毒软件，这是Drupal内容管理框架中的安全漏洞. 当前，这些攻击旨在将受影响的系统转变为Monero挖矿机器人. 值得注意的是，该攻击隐藏在Tor网络的后面以逃避检测，以及在使用加密货币挖掘恶意软件感染目标系统之前如何完成系统检查. 尽管这些攻击当前仅提供资源盗窃和恶意软件，从而降低了系统性能，但该漏洞也可以用作其他威胁的切入点.

什么是CVE-2018-7602？

CVE-2018-7602是一个影响Drupal版本7和版本8的远程代码执行（RCE）漏洞. 此漏洞已于2018年4月25日修复. 它是在Drupal的安全团队观察到另一个漏洞CVE-2018-后发现的. 7600（也称为Drupalgeddon 2，于2018年3月28日修复）. Drupal的安全团队还报告说CVE-2018-7602被广泛使用. 根据研究人员的技术分析，成功利用漏洞需要提高权限才能修改或删除Drupal的网站内容.

此漏洞如何传播到Monero矿工？

如图1和2所示，我们看到使用CVE-2018-7602攻击来下载shell脚本，然后该脚本将基于可执行和可链接格式（ELF）检索下载程序，趋势科技检测到的是ELF_DLOADR .DHG）. 如图3所示，下载器将添加一个crontab条目（在基于Unix的系统上，它包含要执行的命令）以自动更新自身. 在此示例中，命令是检查从其下载的链接并解释名为up.jpg的脚本，该脚本伪装成JPEG文件. 基于ELF的下载器还将检索Monero投币采矿恶意软件（COINMINER_TOOLXMR.O-ELF64）并将其安装在受影响的设备上.

图1: 显示如何使用CVE-2018-7602的代码段

图2: 显示如何检索shell脚本的代码段

图3: 恶意软件添加的Crontab条目以自动更新自身

什么使这些攻击值得注意？

下载器使用HTTP 1.0 POST方法在SEND_DATA（）函数中返回数据. POST方法的目标路径是/drupal/df.php. 在这些类型的攻击中，HTTP 1.0通信非常罕见，因为许多组织中的大多数HTTP通信已经在HTTP 1.1或更高版本中. 考虑到这种看似不一致的情况，我们可以预见这是未来攻击的一种方式.

图4: 下载器的SEND_DATA（）函数的汇编代码

设备上安装的Monero采矿机是开源XMRig（版本2.6.3）. 它还会检查设备是否损坏. 当矿工开始运行时，它将其进程名称更改为[^ $ I $ ^]，并访问文件/tmp/dvir.pid. 图6显示了这种秘密进行的行为，由攻击者/操作员在他的XMRig修改版中添加. 管理员或信息安全人员可能会将其视为识别恶意活动的标记，例如在部署基于主机的入侵检测和防御系统或进行取证时.

图5: XMRig的一部分包含在加密货币挖掘恶意软件中

图6: 门罗币矿工main（）函数的反向伪代码

这些攻击来自哪里？

这些攻击很明显，因为它们采取的预防措施隐藏在Tor网络的后面. 这使趋势科技可以将恶意软件跟踪到197 [. ] 231 [. ] 221 [. ]211. 基于WhoIs信息，IP段197 [. ] 231 [. ] 221 [. ] 0 [/] 24似乎可以跟踪恶意软件. 属于虚拟专用网络（VPN）提供商. 此外，趋势科技发现IP地址是Tor出口节点，这是一个将加密的Tor流量传递到常规Internet流量的网关.

实际上，在过去的一个月中，趋势科技已阻止了来自此IP地址的810次攻击. 鉴于这是一个Tor出口节点，趋势科技表示，他们无法确定这些攻击是否与Monero采矿有效载荷有关，还是与单个威胁参与者有关. 来自该IP地址的大量攻击都使用了Heartbleed（CVE-2014-0160）. 研究人员观察到其他攻击利用了ShellShock（CVE-2014-6271），WEB GoAhead的信息泄露漏洞（CVE-2017-5674）和Apache的内存泄漏漏洞（CVE-2004-0113）. 趋势科技还阻止从该IP地址进行文件传输协议（FTP）和安全外壳（SSH）暴力登录. 请注意，这些攻击甚至使用旧的基于Linux或Unix的漏洞，强调了深度防御的重要性. 对于通过Web应用程序和网站管理敏感数据和交易的公司（例如使用Drupal的公司）尤其如此. 甚至可以追溯到2014年的安全漏洞也可以用作攻击者的切入点.

图7: TOR出口节点信息197 [. ] 231 [. ] 221 [. ] 211（2018/06/16）

如何防御这种威胁？

修补和更新Drupal内核可以修复此威胁所利用的漏洞. Drupal的安全公告提供了修复漏洞的指南，尤其是对于仍然使用不受支持的Drupal版本的用户. 开发人员以及系统管理员和信息安全人员还应该通过设计实践安全性: 确保存储和管理个人和公司数据的应用程序的安全性，同时确保其易用性和功能性.

网站或应用程序中的单个漏洞可能导致数据泄漏或中断. 组织可以通过深度防御来进一步防止类似的威胁: 实施最小特权原则并添加多层安全性，例如虚拟补丁，防火墙，入侵检测和防御系统以及应用程序控制和行为监控.

指标受损（IoC）

相关哈希（SHA-256）:

检测为ELF_DLOADR.DHG:

a1d8bfc17bf395742e4c8a81ca0ba352b998c1590ac2fb014aa23671b2ee6302

01147a014378711ee299de7b37ac0a262a1ac22011a510bdf9ad0c93695827b

检测为COINMINER_TOOLXMR.O-ELF64:

89cdf303dc94e56dace894d44c54845e4658a0dc5b32d50b0650a67f92d5b3

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-215713-1.html