國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)�,新型蠕蟲(chóng)ibus利用多個(gè)熱門(mén)漏洞控制大量主機(jī)�。黑客首先利用ThinkPHP遠(yuǎn)程命令執(zhí)行等多個(gè)熱門(mén)漏洞控制大量主機(jī),并將其中一臺(tái)“肉雞”作為蠕蟲(chóng)腳本的下載源�。其余受控主機(jī)下載并運(yùn)行此蠕蟲(chóng)腳本后,繼續(xù)進(jìn)行大規(guī)模漏洞掃描和弱口令爆破攻擊�����,從而實(shí)現(xiàn)橫向傳播��。涉及的漏洞除了ThinkPHP遠(yuǎn)程命令執(zhí)行漏洞����,還有JBoss、Weblogic�����、Redis等產(chǎn)品的漏洞��。因?yàn)樵撊湎x(chóng)最初植入的惡意腳本名為ibus����,所以命名為ibus蠕蟲(chóng)。
此蠕蟲(chóng)的主要特點(diǎn)包括:一是使用多種漏洞進(jìn)行傳播���,以web代碼執(zhí)行漏洞為主���;二是惡意腳本的名稱(chēng)及路徑具有迷惑性,且多份拷貝存放于不同的目錄下����;三是主要代碼perl實(shí)現(xiàn),具備功能完備的C&C通信模塊���;四是C&C通信使用http協(xié)議��,通信內(nèi)容加密����;五是通過(guò)挖掘門(mén)羅幣進(jìn)行獲利����。蠕蟲(chóng)的功能結(jié)構(gòu)由惡意腳本���、傳播模塊、C&C模塊�����、挖礦模塊等組成��。
攻擊者首先利用ThinkPHP v5 遠(yuǎn)程命令執(zhí)行漏洞攻擊了大量主機(jī)��,并指定服務(wù)器作為蠕蟲(chóng)腳本的下載源��。之后攻擊者控制其他被入侵主機(jī)從指定服務(wù)器下載ibus腳本并執(zhí)行�����。該腳本用perl語(yǔ)言寫(xiě)成��,主要功能是解碼��、寫(xiě)入并執(zhí)行C&C (Command and Control)模塊��。攻擊者進(jìn)而通過(guò)向C&C模塊發(fā)送命令,下載包含多種攻擊payload的傳播模塊�����,以及由下載器�、配置文件和挖礦程序組成的挖礦模塊���,挖礦從而獲取利潤(rùn)���。傳播模塊則繼續(xù)攻擊未被入侵主機(jī),橫向傳播�。
針對(duì)此次ibus蠕蟲(chóng)攻擊,建議用戶(hù)應(yīng)盡量避免使用弱密碼口令����,并安裝安全防護(hù)軟件以實(shí)現(xiàn)威脅檢測(cè)、主機(jī)防御和安全隔離�。