sambacry易于利用,只要满足下列条件,便可发动攻击:
开放文件与打印共享端口445,使任何人均可从互联网上访问该端口;
为共享文件配置写权限;
使用已知或可猜测的服务器路径保存这些文件。
满足上述条件后,远程攻击者便可上传任意代码至服务器并运行,针对个别有漏洞的平台,可能还会获得不受限制的root权限。 samba 发布的安全通告中称,
“ samba 3.5.0 及之后所有版本包含远程代码执行漏洞,恶意客户端可上传共享库至可写共享,并在服务器上加载和运行。 ”
samba发布的通告中还提供了修补该rce漏洞(cve-2017-7494)的补丁,用户可从如下网址获得:
http://www.samba.org/samba/security/
系统管理员须使用该补丁尽快修补受影响版本,若因各种原因无法及时修补,可在samba配置文件中添加如下代码:
nt pipe support = no
并重启网络的smb守护进程进行规避。更改配置后会限制客户端访问部分网络计算机。
本文所述samba漏洞似乎属于网络蠕虫,可被恶意代码利用在有漏洞的机器间进行自我复制,而无需用户互动。sambacry最初被发现时,互联网上有接近485,000台计算机运行samba。安全研究人员推测,和wannacry攻击一样,利用sambacry漏洞的网络攻击正急剧上升。
卡巴斯基实验室研究人员布置蜜罐用来检测实际发生的sambacry攻击。专家已发现有恶意软件攻击正利用sambacry漏洞感染linux系统,安装加密货币挖矿程序。 卡巴斯基报称 ,
“ 5 月 30 日 , 我司蜜罐捕捉到了利用该特定漏洞的第一次攻击 , 攻击报文与 ‘ 永恒之蓝 ’ 和 ‘wannacry’ 木马加密攻击完全不同。让人意外的是,这是一款加密货币挖矿程序!”
在利用sambacry漏洞入侵linux机器后,攻击者可在目标系统中执行两种数据:
inaebsgb.so — 远程攻击者访问目标系统所使用的简单反向shell
cblrwuocc.so — 包含加密货币挖矿程序cpuminer的后门
详细的技术分析,见这里
https://securelist.com/78674/sambacry-is-coming/
卡巴斯基研究人员表示 ,
“ 被攻击机器变成了大农场上的主要劳动力 , 为攻击者挖掘加密货币。此外,通过系统中留下的反向shell,攻击者可更改已运行挖矿程序的配置或用其他类型的恶意软件感染受害者计算机。 ”
根据卡巴斯基所说,攻击发起方已获得98门罗币,按当前汇率,相当于5380美元。专家相信,随着越来越多的linux系统被入侵,犯罪分子会获得更多的非法收入。 研究人员称 ,
“ 挖矿程序是从 2017 年 4 月 29 日注册的域中下载的。根据交易记录,攻击者仅在第二天,即4月30日,就收到了第一笔加密货币付款。第一天,他们获取了约1门罗币(根据2017年6月8日汇率,约为55美元), 但是在上周,他们平均每天可挣约5门罗币。这说明有越来越多的僵尸机加入,为攻击者赚取利润。 ”
原文发布时间:2017年6月12日
本文由:securityaffairs 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/sambacry-eternalminer
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站