IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

SambaCry 漏洞利用分析

发布时间:2017-06-14 13:56文章来源:互联网文章作者: 佚名点击次数:
SambaCry 漏洞利用分析。2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。 SambaCry漏洞是一个具备规模传播的蠕虫性质漏洞,近期卡巴斯

SambaCry 漏洞利用分析。“2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

SambaCry漏洞是一个具备规模传播的蠕虫性质漏洞,近期卡巴斯基安全实验室通过蜜罐捕获了一个通过SambaCry漏洞恶意利用bot进行区块连数字货币挖矿的攻击。

漏洞利用

因为该漏洞需要对smb共享盘符有可写权限,从卡巴斯基实验室的蜜罐捕获的攻击包来看,攻击者首先对server尝试写入一个随机字符名的文件,成功后则删除。

\

在检测成功有可写权限后,攻击者暴力猜解写入文件的完整路径,以获得共享目录路径,并写入恶意lib作为payload。

\

在爆破到正确的路径后,则利用CVE-2017-7494漏洞加载恶意lib执行命令,因为samba默认是以root权限启动,所以之后加载lib执行的命令也将以root权限执行,成功利用后,则删除写入的lib,只在内存中执行恶意命令操作。

恶意lib样本349d84b3b176bbc9834230351ef3bc2a_16106.so(INAebsGB.so)和2009af3fed2a4704c224694dfc4b31dc_30361.so(cblRWuoCc.so)

样本分析

在INAebsGB.so中,攻击者用/bin/sh执行了一个非常简单的反弹shell操作,从而执行下载文件或者执行后续命令。

\

发现这个lib其实就是metasploit的is_known_pipename模块生成的。

其后,写入了另一个libcblRWuoCc.so,在这个lib中,攻击者,反弹shell到C2服务器4000端口并下载了一个挖矿程序,将bot作为CPU矿机使用,这个样本中,我们定位了C2服务器和挖矿程序。

\
\

执行的行为中:

bash -i

攻击者下载http://rc.ezreal.space/minerd64_s 并存于/tmp/m赋予权限后nohup执行。

简单对C2服务器查询如下:

rc.ezreal.space

A记录 149.255.35.33

时间 IP 国家 省/州 运营商

2017-05-17 149.255.35.33 美国 伊利诺伊州 swiftway.net

2017-05-15 149.255.35.33 美国 伊利诺伊州 swiftway.net

2017-04-30 185.86.150.76 瑞典 西约塔兰省

www.ezreal.space 191.101.31.100

cl.ezreal.space 191.101.31.100

rc2.ezreal.space 149.255.35.77

rc.ezreal.space 149.255.35.33


SambaCry 漏洞利用分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/IT/965172.html

标签分类:

上一篇:上一篇:2017年6月13日被黑网站曝光 附:Industroyer ICS恶意软件跟乌克
下一篇: 下一篇:摩托罗拉G4 & G5手机被曝存在高危内核命令行注入漏洞
无觅关联推荐,快速提升流量