國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)�,新型蠕蟲ibus利用多個熱門漏洞控制大量主機(jī)�。黑客首先利用ThinkPHP遠(yuǎn)程命令執(zhí)行等多個熱門漏洞控制大量主機(jī),并將其中一臺“肉雞”作為蠕蟲腳本的下載源��。其余受控主機(jī)下載并運行此蠕蟲腳本后�,繼續(xù)進(jìn)行大規(guī)模漏洞掃描和弱口令爆破攻擊,從而實現(xiàn)橫向傳播���。涉及的漏洞除了ThinkPHP遠(yuǎn)程命令執(zhí)行漏洞,還有JBoss���、Weblogic�����、Redis等產(chǎn)品的漏洞����。因為該蠕蟲最初植入的惡意腳本名為ibus,所以命名為ibus蠕蟲�����。
此蠕蟲的主要特點包括:一是使用多種漏洞進(jìn)行傳播����,以web代碼執(zhí)行漏洞為主;二是惡意腳本的名稱及路徑具有迷惑性�,且多份拷貝存放于不同的目錄下;三是主要代碼perl實現(xiàn)�,具備功能完備的C&C通信模塊;四是C&C通信使用http協(xié)議�,通信內(nèi)容加密;五是通過挖掘門羅幣進(jìn)行獲利���。蠕蟲的功能結(jié)構(gòu)由惡意腳本���、傳播模塊、C&C模塊���、挖礦模塊等組成�。
攻擊者首先利用ThinkPHP v5 遠(yuǎn)程命令執(zhí)行漏洞攻擊了大量主機(jī)���,并指定服務(wù)器作為蠕蟲腳本的下載源�����。之后攻擊者控制其他被入侵主機(jī)從指定服務(wù)器下載ibus腳本并執(zhí)行���。該腳本用perl語言寫成��,主要功能是解碼�、寫入并執(zhí)行C&C (Command and Control)模塊����。攻擊者進(jìn)而通過向C&C模塊發(fā)送命令,下載包含多種攻擊payload的傳播模塊���,以及由下載器����、配置文件和挖礦程序組成的挖礦模塊��,挖礦從而獲取利潤��。傳播模塊則繼續(xù)攻擊未被入侵主機(jī)��,橫向傳播����。
針對此次ibus蠕蟲攻擊,建議用戶應(yīng)盡量避免使用弱密碼口令�����,并安裝安全防護(hù)軟件以實現(xiàn)威脅檢測�����、主機(jī)防御和安全隔離����。