drupal7(drupal7基礎(chǔ) pdf)

趨勢科技在上周發(fā)表的博客文章中指出，其安全團(tuán)隊(duì)最近觀察到一系列利用CVE-2018-7602開展的網(wǎng)絡(luò)攻擊，這是Drupal內(nèi)容管理框架中的一個(gè)安全漏洞。目前，這些攻擊旨在將受影響的系統(tǒng)變成門羅幣挖礦bot。值得注意的是攻擊隱藏在Tor網(wǎng)絡(luò)后面以逃避檢測的方式，以及如何在用加密貨幣挖掘惡意軟件感染目標(biāo)系統(tǒng)之前首先完成對系統(tǒng)的檢查。雖然這些攻擊目前只提供了資源竊取和導(dǎo)致系統(tǒng)性能降低的惡意軟件，但該漏洞也可用作其他威脅的入口。

CVE-2018-7602是影響Drupal的版本7和版本8一個(gè)遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，該漏洞在2018年4月25日被修復(fù)。它是在Drupal的安全團(tuán)隊(duì)觀察到另一個(gè)漏洞后發(fā)現(xiàn)的， CVE-2018-7600（也被稱為 Drupalgeddon 2，在2018年3月28日被修復(fù)）。Drupal的安全團(tuán)隊(duì)還報(bào)告稱，CVE-2018-7602正在被廣泛利用。根據(jù)一名研究人員的技術(shù)分析，成功利用漏洞需要提升修改或刪除Drupal運(yùn)行網(wǎng)站內(nèi)容的權(quán)限。

如圖1和圖2所示，我們看到利用CVE-2018-7602的攻擊下載了一個(gè)shell腳本，該腳本隨后將檢索一個(gè)基于可執(zhí)行和可鏈接格式（ELF）的下載程序（由趨勢科技檢測為ELF_DLOADR.DHG）。如圖3所示，下載器將添加一個(gè) crontab條目（在基于unix的系統(tǒng)中，它包含要執(zhí)行的命令）來自動(dòng)更新自身。在本例中，命令是檢查從它下載的鏈接，并解釋一個(gè)名為 up.jpg的腳本，該腳本偽裝成JPEG文件。基于ELF的下載程序還會(huì)檢索門羅幣挖掘惡意軟件（COINMINER_TOOLXMR.O-ELF64），并將其安裝到受影響的設(shè)備上。

圖1：顯示如何利用CVE-2018-7602的代碼片段

圖2：顯示如何檢索shell腳本的代碼片段

圖3：惡意軟件添加的自動(dòng)更新自身的crontab條目

下載器使用HTTP 1.0 POST方法在 SEND_DATA()函數(shù)中返回?cái)?shù)據(jù)。POST方法的目標(biāo)路徑是 /drupal/df.php。在這些類型的攻擊中，HTTP 1.0流量非常少見，因?yàn)樵S多組織的大多數(shù)HTTP流量已經(jīng)在HTTP 1.1或更高版本中。鑒于這種看似不一致的情況，我們可以預(yù)見這是未來攻擊的一種模式。

圖4：下載器的SEND_DATA()函數(shù)的匯編代碼

安裝在設(shè)備上的門羅幣礦工是開源的XMRig（版本2.6.3）。它還會(huì)檢查設(shè)備是否被損壞。當(dāng)?shù)V工開始運(yùn)行時(shí)，它將其進(jìn)程名稱更改為[^ $ I $ ^]并訪問文件/tmp/dvir.pid。圖6顯示了這種暗地里進(jìn)行的行為，攻擊者/操作人員在其修改版本的XMRig中添加了這種行為。管理員或信息安全專業(yè)人員可以考慮將其作為識(shí)別惡意活動(dòng)的一個(gè)標(biāo)記，例如部署基于主機(jī)的入侵檢測和預(yù)防系統(tǒng)或執(zhí)行取證時(shí)。

圖5：加密貨幣挖掘惡意軟件中包含的XMRig的部分

圖6：門羅幣礦工main()函數(shù)的逆向的偽代碼

這些攻擊是值得注意的，因?yàn)樗鼈儾扇〉姆婪洞胧┦请[藏在Tor網(wǎng)絡(luò)后面。這使得趨勢科技能夠追蹤惡意軟件的蹤跡到197[.]231[.]221[.]211。基于WhoIs信息，IP段197[.]231[.]221[.]0[/]24似乎屬于虛擬專用網(wǎng)絡(luò)（VPN）提供商。另外，趨勢科技還發(fā)現(xiàn)IP地址是一個(gè)Tor出口節(jié)點(diǎn)——將加密的Tor流量傳遞到常規(guī)的互聯(lián)網(wǎng)流量的網(wǎng)關(guān)。

事實(shí)上，在過去一個(gè)月里，趨勢科技已經(jīng)阻止了來自此IP地址的810次攻擊。鑒于它是一個(gè)Tor出口節(jié)點(diǎn)，趨勢科技表示他們無法確定這些攻擊是與門羅幣挖掘有效載荷相關(guān)，還是來自單個(gè)威脅參與者。來自此IP地址的大量攻擊都利用了Heartbleed（CVE-2014-0160）。研究人員觀察到其他攻擊利用了ShellShock（CVE-2014-6271），WEB GoAhead的一個(gè)信息泄露漏洞（CVE-2017-5674），以及Apache的內(nèi)存泄漏漏洞（CVE-2004-0113）。趨勢科技還阻止來自此IP地址的文件傳輸協(xié)議（FTP）和安全外殼（SSH）蠻力登錄。請注意，這些攻擊甚至利用了舊的Linux或基于Unix的漏洞，強(qiáng)調(diào)了縱深防御的重要性。對于那些Web應(yīng)用程序和網(wǎng)站（如使用Drupal的網(wǎng)站）來管理敏感數(shù)據(jù)和交易的企業(yè)來說，情況尤其如此。即使是一個(gè)可以追溯到2014年的安全漏洞，也可以作為攻擊者的切入點(diǎn)。

圖7：197[.]231[.]221[.]211的TOR出口節(jié)點(diǎn)信息（2018/06/16）

修補(bǔ)和更新Drupal內(nèi)核可修復(fù)此威脅所利用的漏洞。Drupal的安全公告提供了修復(fù)漏洞的指導(dǎo)方針，特別是那些仍然使用不受支持版本的Drupal的用戶。開發(fā)人員，以及系統(tǒng)管理員和信息安全專業(yè)人員也應(yīng)該通過設(shè)計(jì)實(shí)踐安全性：確保存儲(chǔ)和管理個(gè)人和企業(yè)數(shù)據(jù)的應(yīng)用程序的安全性，同時(shí)確保其易用性和功能性。

網(wǎng)站或應(yīng)用程序中的單個(gè)漏洞可能導(dǎo)致數(shù)據(jù)泄露或中斷。組織可以通過縱深防御來進(jìn)一步阻止類似威脅：執(zhí)行最小特權(quán)原則并添加多個(gè)安全層，例如虛擬補(bǔ)丁、防火墻、入侵檢測和預(yù)防系統(tǒng)，以及應(yīng)用程序控制和行為監(jiān)控。

本文由 黑客視界 綜合網(wǎng)絡(luò)整理，圖片源自網(wǎng)絡(luò)；轉(zhuǎn)載請注明“轉(zhuǎn)自黑客視界”，并附上鏈接。