threatBook微步情报局
IOC 18

threatBookthreatBook

漏洞攻击weblogic漏洞利用挖矿
【更新】【微步在线威胁预警】黑客利用最新高危WebLogic漏洞对服务器发起攻击
微步情报局
2017-12-22 09:53:01ThreatBook7001
+ 关注

增加了新的ioc

编号:TB-2017-0010                                                

报告置信度:90

TAG:CVE-2017-3248、CVE-2017-10271、WebLogic、远程执行、反序列化、挖矿

TLP: 白 (报告转发及使用不受限制)

日期: 2017-12-21


摘要

  近日,微步在线监测到黑客利用WebLogic 反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271)对企业服务器发起大范围远程攻击,有大量企业的服务器被攻陷,且被攻击企业数量呈现明显上升趋势,需要引起高度重视。其中,CVE-2017-12071是一个最新的利用Oracle WebLogic中WLS 组件的远程代码执行漏洞,属于没有公开细节的野外利用漏洞,大量企业尚未及时安装补丁。官方在 2017 年 10 月份发布了该漏洞的补丁。

   该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后,很可能出现攻击事件数量激增,大量新主机被攻陷的情况。

   攻击者能够同时攻击Windows及Linux主机,并在目标中长期潜伏。由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马。但该漏洞可被黑客用于其它目的攻击。微步在线提醒客户注意安全防范,我们提供了此次攻击的详细信息及技术指标,本地日志检测方法,远程检测POC,帮助企业安全团队进行检测。

漏洞参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

如需微步在线协助,请与我们联系 contactus@threatbook.cn 


事件概要

image.png

    根据捕获到的 pcap 包分析,攻击者选定要攻击的目标主机后,将首先利用漏洞CVE-2017-3248进行攻击,无论是否成功,都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中,都是先针对Windows系统,再针对Linux系统。具体攻击流程如下:

1、 利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Linux 中的 wget 进行样本下载和运行。

2、  利用 WebLogic 反序列化漏洞(CVE-2017-3248)调用 Windows 中的PowerShell进行样本下载和运行。

3、  利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Linux 中的 wget 进行样本下载和运行。

4、  利用 WebLogic WLS 组件漏洞(CVE-2017-10271)调用 Windows 中的 powershell 进行样本下载和运行。

5、在此次的攻击事件中,CVE-2017-3248利用不成功,CVE-2017-10271则利用成功,从而导致了服务器被攻击者攻陷,进而在系统日志中留下了痕迹。


微步在线的威胁检测平台(TIP)可检测此攻击,并在第一时间告警。告警截图如下:

image.png

微步在线同时观测到,该黑客团伙同时在使用JBoss和Struts2漏洞进行攻击尝试和渗透行为


检测措施

以下3种方式,任意一种即可:

1、 网络流量:

使用附录中的IOC结合日志和防病毒安全套件等系统进行自查和清理。

详情:通过防火墙检查与IP 72.11.140.178的连接。

2、 尽快对失陷机器进行排查和清理,检查主机日志中是否出现以下字符串:

a)  对于 Linux 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory

b)  对于 Windows 主机,检查日志中是否出现以下字符串:

java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory

若出现,则说明系统已被入侵。

3、 使用微步在线提供的排查脚本进行检测,同时提供Linux版本和Windows版本。

详见附录中“漏洞排查脚本”部分。


行动建议

- 及时更新补丁

- 加强生产网络的威胁监控,及时发现潜在威胁。

 

附  录

IOC

72.11.140.178


漏洞排查脚本

省略(避免相关POC脚本被恶意利用,引起更大范围的破坏。如果需要具体POC脚本,请与我们联系: contactus@threatbook.cn)

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
5.188.87.112001
5.188.87.122001
45.76.94.64202
45.123.190.1780001
72.11.140.178327402
查看全部14threatBook
域名子域名历史IP样本标签
b.yubeb.net3000
baron.su92000
letsweb.000webhostapp.com1000001
youtube.qmii.uz75000
17

评论

ThreatBook
匿名用户
2018-05-22 16:03:39
threatBook0
还有这种操作?
匿名用户
2018-05-21 16:17:47
threatBook0
不错
匿名用户
2018-05-21 16:11:44
threatBook0
姿势可以
匿名用户
2018-05-21 16:10:21
threatBook0
姿势可以
匿名用户
2018-05-21 16:07:39
threatBook0
学习学习1
h0st
2018-05-21 16:07:07
threatBook0
新姿势学习下。。。
匿名用户
2018-05-21 16:06:18
threatBook0
学习学习
匿名用户
2018-05-21 16:04:31
threatBook0
厉害了
匿名用户
2018-05-21 15:56:52
threatBook0
学习个
匿名用户
2018-05-21 15:50:02
threatBook0
niupi 1
匿名用户
2018-05-21 15:49:04
threatBook0
niupi
匿名用户
2018-05-21 15:47:49
threatBook0
77777
匿名用户
2018-05-21 15:46:44
threatBook0
666
匿名用户
2018-05-21 15:45:26
threatBook0
666
匿名用户
2018-05-21 15:44:20
threatBook0
666
czhack
2018-01-03 23:43:57
threatBook0
666
liauzn
2018-01-03 15:50:11
threatBook0
怎么变异法?
匿名用户
2017-12-28 17:06:04
threatBook0
爆发了
匿名用户
2017-12-22 11:18:20
threatBook1
http://45.123.190.178/Carbon 有新的黑客利用这个链接,大家屏蔽45.123.185.0-45.123.200.0的网段吧。是香港那边的攻击。原先不会变换IP,现在变换了
微步情报局
2017-12-24 09:29:06
threatBook
回复@匿名用户您说的这个我们已经加进去了,谢谢您。
匿名用户
2017-12-22 10:51:36
threatBook1
这个问题已经出现变种,有香港的IP开始使用该方式。所以该方法已经变异。
匿名用户
2017-12-22 10:55:35
threatBook
回复@匿名用户怎么变异法?
匿名用户
2017-12-22 10:48:24
threatBook0
查了下,真的中了......[捂脸][捂脸][捂脸]
已经到底了,没有更多内容了