查看: 1531|回复: 5
收起左侧

[技术原创] 腾讯御界捕获Weblogic组件漏洞攻击 成功解除BuleHero蠕虫病毒威胁

[复制链接]
腾讯电脑管家
发表于 2019-5-22 17:47:34 | 显示全部楼层 |阅读模式
一.背景
本周腾讯安全御见威胁情报中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现入侵感知告警信息,信息显示该公司有资产正遭受利用WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)的网络攻击,该公司安全人员及时联络腾讯安全专家协助分析威胁事件。
]
]
]


二.详细分析
蠕虫病毒bulehero最早由腾讯安全御见威胁情报中心于2018年8月发现,该病毒擅长利用各类漏洞攻击、弱密码爆破攻击,病毒作者不断更新攻击模块代码,将最新爆出的多个高危漏洞加入到漏洞攻击模块中,给企业用户造成较大威胁。腾讯安全御见威胁情报中心对该病毒进行了持续跟踪,发现bulehero蠕虫病毒利用包括以下漏洞进行攻击:
Windows系统漏洞:
“永恒之蓝”MS17-010
Lnk漏洞(CVE-2017-8464)
服务器组件漏洞:
Apache Struts2远程代码执行漏洞(CVE-2017-5638)
WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)
Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)
Thinkphp V5漏洞(CNVD-2018-24942)
WebLogic Fusion中间件远程代码执行漏洞(CVE-2019-2725)(本次攻击新增)
病毒使用的爆破攻击类型包括:
SQL Server 1433端口爆破
IPC$远程连接爆破
图5 BuleHero蠕虫最新变种攻击流程
2.1 download.exe
BuleHero病毒在漏洞攻击成功后,首先通过Payload下载Downloader木马(hxxp://fid.hognoob.se/download.exe),然后利用该Downloader木马继续下载母体病毒Secloginler.exe。
2.2]
“永恒之蓝”漏洞攻击,“永恒之蓝”自从被黑客组织公开后,被WannaCry等多种恶意病毒使用,虽然大多数用户已经修复了此漏洞,但是还有一部分未修复漏洞的用户面临被攻击的危险。
服务器组件漏洞(CVE-2019-2725)攻击(其他组件攻击类型不再列举):
2019年4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),微软官方紧急补丁(CVE-2019-2725)于4月26日发布。由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,利用该漏洞获取服务器权限,实现远程代码执行,漏洞受影响程序版本为OracleWebLogic Server 10.*、Oracle WebLogic Server 12.1.3。
母体运行后会释放LNK(CVE-2017-8464)漏洞利用模块。通过在染毒机器各个磁盘根目录创建恶意LNK文件,利用漏洞加载Payload的方式,实现更加隐蔽的长期反复启动感染驻留。由于该蠕虫主要目标为企业用户,一旦企业共享目录被病毒感染,任何访问该共享目录的存在漏洞的电脑均会被感染。
利用内置密码字典进行<span]

2.3 挖矿
病毒母体释放挖矿木马到C:\windows\temp目录下
安装计划任务以达到持久化运行
矿机程序采用开源挖矿软件XMRig 2.14.1版本编译
木马连接矿池挖矿

三.安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞
XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh ... urity/ms17-010.aspx
3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,CVE-2019-2725漏洞修复建议如下:
1)及时打上官方CVE-2019-2725补丁包
官方已于4月26日公布紧急补丁包,下载地址如下:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline
2)删除不安全文件
删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:
10.3.*版本:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
12.1.3版本:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解
5.使用腾讯御点拦截可能的病毒攻击(https://s.tencent.com/product/yd/index.html

6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html


IOCs
IP
195.128.124.140
197.26.161.25
Domain
fid.hognoob.se
uio.heroherohero.info
md5
f39fda009e079be4265a062afe3943b4
9bc15491b017d3f8a0452c10bdf6bcc2
76e77e317c4dcc5b17269fa86ab7df27
2b4ac7b362261cb3f6f9583751708064
URL
hxxp://fid.hognoob.se/download.exe
hxxp://fid.hognoob.se/Secloginler.exe
hxxp://uio.hognoob.se:63145/cfg.ini
hxxp://uio.heroherohero.info:63145/cfg.ini
参考链接:
https://www.freebuf.com/column/180544.html
https://www.freebuf.com/column/181604.html
https://www.freebuf.com/column/197762.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zgj_lz
发表于 2019-5-23 09:16:28 | 显示全部楼层
本帖最后由 zgj_lz 于 2019-5-23 09:18 编辑

看来腾讯御界高级威胁检测系统还是不错的。
nita
发表于 2019-5-23 10:23:55 | 显示全部楼层
腾讯实力不容小嘘
0asdcds
发表于 2019-5-24 15:05:49 | 显示全部楼层
nita 发表于 2019-5-23 10:23
腾讯实力不容小嘘

关键是他们什么时候修复Discuz!的漏洞
chenQK
发表于 2019-7-2 20:09:43 | 显示全部楼层
厉害
nita
发表于 2019-7-3 11:55:09 | 显示全部楼层
腾讯实力不容小觑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:23 , Processed in 0.128397 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表