NAS設(shè)備面臨新威脅:SambaCry安全漏洞引入后門

責(zé)任編輯:editor005

2017-07-20 14:51:14

摘自:E安全

部分惡意人士正在利用SambaCry漏洞在運行有舊版本Samba文件共享服務(wù)器的Linux設(shè)備上安裝后門木馬。據(jù)研究人員所言,SHELLBIND是一款簡單的后門木馬,允許攻擊者在受感染設(shè)備之上開啟遠程shell。

部分惡意人士正在利用SambaCry漏洞在運行有舊版本Samba文件共享服務(wù)器的Linux設(shè)備上安裝后門木馬。

根據(jù)Trend Micro公司的專家們所言,其中大多數(shù)攻擊活動皆指向網(wǎng)絡(luò)附加存儲(簡稱NAS)設(shè)備,部分此類設(shè)備確實安裝有Samba服務(wù)器以實現(xiàn)不同操作系統(tǒng)之間的文件共享及互操作能力。

NAS設(shè)備面臨新威脅:SambaCry安全漏洞引入后門-E安全

  E安全百科:

Samba文件共享服務(wù)器是一款基于SMB協(xié)議并由服務(wù)端和客戶端組成的開源文件共享軟件,以實現(xiàn)Linux與Windows系統(tǒng)間的文件共享。

早期網(wǎng)絡(luò)想要在不同主機之間共享文件大多要用FTP協(xié)議來傳輸,但FTP協(xié)議僅能做到傳輸文件卻不能直接修改對方主機的資料數(shù)據(jù),很不方便。后來出現(xiàn)了NFS開源文件共享程序NFS,但這是一個能夠?qū)⒍嗯_Linux的遠程主機數(shù)據(jù)掛載到本地目錄的服務(wù),屬于輕量級的文件共享服務(wù),不支持Linux與 Windows系統(tǒng)間的文件共享。直到1991年大學(xué)生Tridgwell為了解決Linux與Windows系統(tǒng)之間共享文件的問題,便開發(fā)出了SMB協(xié)議與Samba服務(wù)程序。

影響七年以來的Samba軟件版本

被研究人員們稱為SHELLBIND的惡意軟件利用一項披露于2017年5月,名為SambaCry(亦稱‘永恒之紅’)的安全漏洞。

SambaCry,編號CVE-2017-7494,影響到過去七年以來發(fā)布的全部Samba軟件版本,其中最低受影響版本為3.5.0。

就在Samba團隊為其軟件提供補丁并將安全漏洞細(xì)節(jié)信息公之于眾的兩周之后,有人開始利用SambaCry感染Linux服務(wù)器并向其中安裝一款名為EternalMiner的加密貨幣采礦程序。

NAS設(shè)備面臨新威脅:SambaCry安全漏洞引入后門-E安全

SHELLBIND在端口61422上開啟后門

上個月,EternalMiner的散布活動仍在進行當(dāng)中,不過Trend Micro公司今天發(fā)布了一份報告,指出SHELLBIND開始成為SambaCry漏洞利用當(dāng)中的最新攻擊載荷。

據(jù)研究人員所言,SHELLBIND是一款簡單的后門木馬,允許攻擊者在受感染設(shè)備之上開啟遠程shell。

根據(jù)配置,該木馬能夠更改本地防火墻規(guī)則并打開TCP端口61422,這意味著攻擊者可以借此接入受感染設(shè)備。

SHELLBIND則會通過端口80 ping通一臺位于169.239.128.123(南非的IP地址)的服務(wù)器,借以通知攻擊者已經(jīng)有新設(shè)備被成功感染,攻擊者則從服務(wù)器日志當(dāng)中提取新IP,而后手動通過端口61422接入該受感染主機。

SHELLBIND的shell訪問受到密碼保護。該密碼以硬編碼形式嵌于該木馬的代碼當(dāng)中,具體內(nèi)容為“Q8pGZFS7N1MObJHf”。

SHELLBIND很可能被用于竊取數(shù)據(jù)

相較于主要針對Linux服務(wù)器的EternalMiner,SHELLBIND的目標(biāo)則更多指向NAS設(shè)備,但其也能夠感染運行有其它漏泄Samba版本的物聯(lián)網(wǎng)設(shè)備。

根據(jù)該惡意軟件的特性以及針對性攻擊的表現(xiàn),目前基本可以斷定,威脅操縱者正在竊取數(shù)據(jù)并很可能通過地下黑客論壇銷售或要求受害者企業(yè)支付贖金以獲利。

另外,這已經(jīng)不是NAS設(shè)備受到影響的首次案例。

2017年,安全研究人員季諾菲克斯發(fā)現(xiàn)了數(shù)個能夠影響西部數(shù)據(jù)多款MyCloud NAS設(shè)備的安全漏洞。

2016年9月,一款名為Mal/Miner-C的惡意軟件變種(亦被稱為PhotoMiner)成功感染了希捷NAS設(shè)備,并利用其進行加密貨幣Monero采礦。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號