腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟

申博_新闻事件 申博 104次浏览 未收录 0个评论

一.配景

本周腾讯平安御见要挟情报中心接到客户乞助,客户布置的腾讯御界高等要挟检测体系发明入侵感知告警信息,信息显现该公司有资产正遭遇应用WebLogic Fusion中间件长途代码实行破绽(CVE-2019-2725)的收集进击,该公司平安职员实时联系腾讯平安专家辅佐剖析要挟事宜。

腾讯平安专家在征得客户赞同后提取御界的相干日记,对日记举行剖析并从中提掏出症结IOC信息,然后应用该IOC信息经由过程腾讯安图高等要挟溯源体系举行溯源,效果发明该公司遭遇的WebLogic Fusion中间件长途代码实行破绽(CVE-2019-2725)进击事宜为BuleHero蠕虫病毒的最新变种进击。因为发明实时,腾讯平安专家实时辅佐客户举行断绝、杀毒、修复平安破绽,该公司并未遭遇丧失,客户收集的入侵风险随即消除。

事宜日记显现,黑客进击时发送的数据包命中了布置在御界高等要挟检测体系中的CVE-2019-2725破绽进击检测划定规矩,从而触发御界报警。御界生存的原始日记以下:

从原始日记解析出进击时发送的soap音讯以下:

腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟

图3

从日记解码数据中提取症结IOC信息fid.hognoob.se,并经由过程腾讯安图高等要挟溯源体系剖析,可知进击所属病毒家属为BuleHero。

腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟

图4

二.详细剖析

蠕虫病毒bulehero最早由腾讯平安御见要挟情报中心于2018年8月发明,该病毒善于应用各种破绽进击、弱暗码爆破进击,病毒作者不断更新进击模块代码,将最新爆出的多个高危破绽加入到破绽进击模块中,给企业用户形成较大要挟。腾讯平安御见要挟情报中心对该病毒举行了延续跟踪,发明bulehero蠕虫病毒应用包罗以下破绽举行进击:

· Windows体系破绽:

· “永久之蓝”MS17-010

· Lnk破绽(CVE-2017-8464)

效劳器组件破绽:

· Apache Struts2长途代码实行破绽(CVE-2017-5638)

· WebLogic WLS组件长途代码实行破绽(CVE-2017-10271)

· Tomcat PUT体式格局恣意文件上传破绽(CVE-2017-12615)

· Thinkphp V5破绽(CNVD-2018-24942)

· WebLogic Fusion中间件长途代码实行破绽(CVE-2019-2725)(本次进击新增)

病毒运用的爆破进击范例包罗:

· SQL Server 1433端口爆破

· IPC$长途衔接爆破

腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟

图5 BuleHero蠕虫最新变种进击流程

2.1 download.exe

BuleHero病毒在破绽进击胜利后,起首经由过程Payload下载Downloader木马(hxxp://fid.hognoob.se/download.exe),然后应用该Downloader木马继承下载母体病毒Secloginler.exe。

2.2 Secloginler.exe

Secloginler.exe扫描模块举行扫描、应用永久之蓝进击模块、ipc$爆破进击模块和多个效劳器组件破绽进击模块对内网情况中的主机或效劳器举行进击,从而到达横向挪动并在沦陷机械中植入挖矿木马。

猎取当地ip段,并随机天生局部ip段,写入文件夹下的ip.txt,然后经由过程端口扫描发明易受进击的目的机械生存为result.txt

“永久之蓝”破绽进击,“永久之蓝”自从被黑客组织公然后,被WannaCry等多种歹意病毒运用,虽然大多数用户已修复了此破绽,然则另有一局部未修复破绽的用户面对被进击的风险。

渗透技巧——获得Powershell命令的历史记录

0x00 前言 我在最近的学习过程中,发现Powershell命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对Powershell的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法,结合利用思路,给出防御建议。 0x01 简介 本文将要介绍以下内容: · 两种Powershell命令的历史记录 · 导出Powershell命令历史记录的方法 · 防御建议 0x02 两种Powershell命令的历史记录 记录Powershell命令的历史记录有两种方式,可分别使用Get-History和Get-PSReadlineOption读取。 1、Get-History 参考文档: https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Get-History?view=powershell-3.0 默认Powershell v2及以上支持。 能够记录当前会话中输入的命令,多个Powershell进程之间不共享,Powershell进程退出后自动清除所有记录。 (1)常用命令 获得历史记录的完整信息: Get-History | Format-List -Property * 包括: · Id · CommandLine · ExecutionStatus · StartExecutionTime · EndExecutionTime 测试如下图: 删除所有历史记录: Clear-History 按ID号删除命令: Clear-History -Id 3 (2)利用思路 获得了

效劳器组件破绽(CVE-2019-2725)进击(其他组件进击范例不再枚举):

2019年4月17日,国度信息平安破绽同享平台(CNVD)公然了Weblogic反序列化长途代码实行破绽(CNVD-C-2019-48814),微软官方紧要补钉(CVE-2019-2725)于4月26日宣布。因为在反序列化处置惩罚输入信息的过程当中存在缺点,未经受权的进击者能够发送经心组织的歹意 HTTP 要求,应用该破绽猎取效劳器权限,完成长途代码实行,破绽受影响顺序版本为Oracle WebLogic Server 10.*、Oracle WebLogic Server 12.1.3。

母体运转后会开释LNK(CVE-2017-8464)破绽应用模块。经由过程在染毒机械各个磁盘根目次建立歹意LNK文件,应用破绽加载Payload的体式格局,完成越发隐藏的临时重复启动沾染驻留。因为该蠕虫重要目的为企业用户,一旦企业同享目次被病毒沾染,任何接见该同享目次的存在破绽的电脑均会被沾染。

应用内置暗码字典举行IPC$长途爆破,爆破登录胜利后在目的机械应用Psexec东西或许WMIC实行长途敕令植入木马顺序。

腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟

图11

2.3 挖矿

病毒母体开释挖矿木马到C:\windows\temp目次下:

装置计划任务以到达耐久化运转:

图13

矿机顺序接纳开源挖矿软件XMRig 2.14.1版本编译:

木马衔接矿池挖矿:

三.平安发起

1.效劳器临时封闭不必要的端口(如135、139、445),要领可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2.下载并更新Windows体系补钉,实时修复永久之蓝系列破绽

XP、WindowsServer2003、win8等体系接见:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer 2016等体系接见:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3.按期对效劳器举行加固,尽早修复效劳器相干组件平安破绽,CVE-2019-2725破绽修复发起以下:

1)实时打上官方CVE-2019-2725补钉包

官方已于4月26日宣布紧要补钉包,下载地点以下:

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline

2)删除不平安文件

删除wls9_async_response.war与wls-wsat.war文件及相干文件夹,并重启Weblogic效劳。详细文件途径以下:

10.3.*版本:

\Middleware\wlserver_10.3\server\lib\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3版本:

\Middleware\Oracle_Home\oracle_common\modules\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

4.效劳器运用高强度暗码,切勿运用弱口令,防备黑客暴力破解。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明腾讯御界捕捉Weblogic组件破绽进击 胜利消除BuleHero蠕虫病毒要挟
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址