sambacry易于利用,隻要滿足下列條件,便可發動攻擊:
開放檔案與列印共享端口445,使任何人均可從網際網路上通路該端口;
為共享檔案配置寫權限;
使用已知或可猜測的伺服器路徑儲存這些檔案。
滿足上述條件後,遠端攻擊者便可上傳任意代碼至伺服器并運作,針對個别有漏洞的平台,可能還會獲得不受限制的root權限。 samba 釋出的安全通告中稱,
“ samba 3.5.0 及之後所有版本包含遠端代碼執行漏洞,惡意用戶端可上傳共享庫至可寫共享,并在伺服器上加載和運作。 ”
samba釋出的通告中還提供了修補該rce漏洞(cve-2017-7494)的更新檔,使用者可從如下網址獲得:
http://www.samba.org/samba/security/
系統管理者須使用該更新檔盡快修補受影響版本,若因各種原因無法及時修補,可在samba配置檔案中添加如下代碼:
nt pipe support = no
并重新開機網絡的smb守護程序進行規避。更改配置後會限制用戶端通路部分網絡計算機。
本文所述samba漏洞似乎屬于網絡蠕蟲,可被惡意代碼利用在有漏洞的機器間進行自我複制,而無需使用者互動。sambacry最初被發現時,網際網路上有接近485,000台計算機運作samba。安全研究人員推測,和wannacry攻擊一樣,利用sambacry漏洞的網絡攻擊正急劇上升。
卡巴斯基實驗室研究人員布置蜜罐用來檢測實際發生的sambacry攻擊。專家已發現有惡意軟體攻擊正利用sambacry漏洞感染linux系統,安裝加密貨币挖礦程式。 卡巴斯基報稱 ,
“ 5 月 30 日 , 我司蜜罐捕捉到了利用該特定漏洞的第一次攻擊 , 攻擊封包與 ‘ 永恒之藍 ’ 和 ‘wannacry’ 木馬加密攻擊完全不同。讓人意外的是,這是一款加密貨币挖礦程式!”
在利用sambacry漏洞入侵linux機器後,攻擊者可在目标系統中執行兩種資料:
inaebsgb.so — 遠端攻擊者通路目标系統所使用的簡單反向shell
cblrwuocc.so — 包含加密貨币挖礦程式cpuminer的後門
詳細的技術分析,見這裡
https://securelist.com/78674/sambacry-is-coming/
卡巴斯基研究人員表示 ,
“ 被攻擊機器變成了大農場上的主要勞動力 , 為攻擊者挖掘加密貨币。此外,通過系統中留下的反向shell,攻擊者可更改已運作挖礦程式的配置或用其他類型的惡意軟體感染受害者計算機。 ”
根據卡巴斯基所說,攻擊發起方已獲得98門羅币,按目前匯率,相當于5380美元。專家相信,随着越來越多的linux系統被入侵,犯罪分子會獲得更多的非法收入。 研究人員稱 ,
“ 挖礦程式是從 2017 年 4 月 29 日注冊的域中下載下傳的。根據交易記錄,攻擊者僅在第二天,即4月30日,就收到了第一筆加密貨币付款。第一天,他們擷取了約1門羅币(根據2017年6月8日匯率,約為55美元), 但是在上周,他們平均每天可掙約5門羅币。這說明有越來越多的僵屍機加入,為攻擊者賺取利潤。 ”
原文釋出時間:2017年6月12日
本文由:securityaffairs 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/sambacry-eternalminer
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站