國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn),新型蠕蟲(chóng)ibus利用多個(gè)熱門(mén)漏洞控制大量主機(jī)。黑客首先利用ThinkPHP遠(yuǎn)程命令執(zhí)行等多個(gè)熱門(mén)漏洞控制大量主機(jī),并將其中一臺(tái)“肉雞”作為蠕蟲(chóng)腳本的下載源。其余受控主機(jī)下載并運(yùn)行此蠕蟲(chóng)腳本后,繼續(xù)進(jìn)行大規(guī)模漏洞掃描和弱口令爆破攻擊,從而實(shí)現(xiàn)橫向傳播。涉及的漏洞除了ThinkPHP遠(yuǎn)程命令執(zhí)行漏洞,還有JBoss、Weblogic、Redis等產(chǎn)品的漏洞。因?yàn)樵撊湎x(chóng)最初植入的惡意腳本名為ibus,所以命名為ibus蠕蟲(chóng)。
此蠕蟲(chóng)的主要特點(diǎn)包括:一是使用多種漏洞進(jìn)行傳播,以web代碼執(zhí)行漏洞為主;二是惡意腳本的名稱(chēng)及路徑具有迷惑性,且多份拷貝存放于不同的目錄下;三是主要代碼perl實(shí)現(xiàn),具備功能完備的C&C通信模塊;四是C&C通信使用http協(xié)議,通信內(nèi)容加密;五是通過(guò)挖掘門(mén)羅幣進(jìn)行獲利。蠕蟲(chóng)的功能結(jié)構(gòu)由惡意腳本、傳播模塊、C&C模塊、挖礦模塊等組成。
攻擊者首先利用ThinkPHP v5 遠(yuǎn)程命令執(zhí)行漏洞攻擊了大量主機(jī),并指定服務(wù)器作為蠕蟲(chóng)腳本的下載源。之后攻擊者控制其他被入侵主機(jī)從指定服務(wù)器下載ibus腳本并執(zhí)行。該腳本用perl語(yǔ)言寫(xiě)成,主要功能是解碼、寫(xiě)入并執(zhí)行C&C (Command and Control)模塊。攻擊者進(jìn)而通過(guò)向C&C模塊發(fā)送命令,下載包含多種攻擊payload的傳播模塊,以及由下載器、配置文件和挖礦程序組成的挖礦模塊,挖礦從而獲取利潤(rùn)。傳播模塊則繼續(xù)攻擊未被入侵主機(jī),橫向傳播。
針對(duì)此次ibus蠕蟲(chóng)攻擊,建議用戶(hù)應(yīng)盡量避免使用弱密碼口令,并安裝安全防護(hù)軟件以實(shí)現(xiàn)威脅檢測(cè)、主機(jī)防御和安全隔離。