一種新的 Linux 系統後門已經開始肆虐,並主要執行在位於中國的 Linux 伺服器上。據 ZDNet 報導,該惡意軟體名為 SpeakUp,三週前由 Check Point 安全研究人員發現。研究人員表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 進行攻擊,一旦 SpeakUp 入侵易受攻擊的系統,那麼黑客就可以使用它來修改本地 cron 應用以獲得啟動永續性,並執行 shell 命令,執行從遠端命令與控制伺服器(C&C)下載的檔案,以及更新或解除安裝自身。
此外 SpeakUp 還附帶了一個內建的 Python 指令碼,惡意軟體通過該指令碼在本地網路中橫向傳播。指令碼可以掃描本地網路以查詢開放埠,使用預定義的使用者名稱和密碼列表對附近的系統進行暴力破解,並使用以下七個漏洞中的一個來接管未打補丁的系統:
CVE-2012-0874: JBoss 企業應用程式平臺多安全繞過漏洞
CVE-2010-1871: JBoss Seam Framework 遠端程式碼執行
JBoss AS 3/4/5/6: 遠端命令執行
CVE-2017-10271: Oracle WebLogic wls-wsat 元件反序列化 RCE
CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 元件中的漏洞
Hadoop YARN ResourceManager - Command Execution
CVE-2016-3088: Apache ActiveMQ 檔案伺服器檔案上載遠端執行程式碼漏洞
Check Point 表示 SpeakUp 可以在六種不同的 Linux 發行版甚至 macOS 系統上執行,其背後的黑客團隊目前主要使用該惡意軟體在受感染的伺服器上部署 Monero 加密貨幣礦工,並且目前已經獲得了大約 107 枚 Monero 幣,大約是 4500 美元。
目前感染的地圖顯示,SpeakUp 受害者主要集中在亞洲和南美洲,其中以中國為主。
研究人員表示,就已經掌握的資訊來看,SpeakUp 作者目前僅使用 ThinkPHP 的漏洞 CVE-2018-20062 進行利用,該漏洞允許遠端攻擊者通過精心使用 filter 引數來執行任意 PHP 程式碼,但其實他們可以輕鬆切換到任何其它漏洞,將 SpeakUp 後門擴充套件到更廣泛的目標。
來源:開源中國
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊: