概述
近日,奇安信病毒相应中央在日常样本监控过程中创造NextCry Ransomware的新进入渠道,其正在利用PHP-fpm远程代码实行漏洞(CVE-2019-11043)针对Linux做事器发起攻击考试测验入侵。
NextCry打单是一种新型打单软件,该打单由Python编写并利用PyInstall打包成Linux ELF二进制文件,采取RSA-2048和AES-256-CBC算法加密指定目录下的文件,无法解密,从打单名可以看出,作者试图致敬2017年的WannaCry打单蠕虫。
基于奇安信威胁情报中央的多维度大数据关联剖析,目前该打单紧张攻击安装有Nextcloud软件的做事器,不用除后面会扩大攻击范围,为了避免惶恐感情产生,我们表露这次攻击事宜的部分细节,并给出办理方案。
漏洞剖析
Nextcloud是一款开源的用于创建网络硬盘的客户端-做事器软件,常被用来搭建私有云盘,类似于我们熟知的Dropbox。
CVE-2019-11043是一个十月尾刚被表露出来的PHP干系漏洞,相应的技能细节已经公开,利用此漏洞可以非常大略稳定在受影响的做事器上远程实行任意命令,在启用PHP-Fpm的Nginx做事器上运行某些版本的PHP 7有可能受到攻击。没有运行Nginx做事器理论上则不会产生影响,但值得关注的是Nextcloud软件默认情形下开启Nginx做事器,以是险些所有的基于Nextcloud的云盘都会受到影响,这或许是攻击者选择Nextcloud的缘故原由,Nextcloud官方在第一韶光已经发布公告。
漏洞涌如今fpm_main.c中,当path_info被%0a字符截断时,值会被归零:
由于path_info可控,通过将指针地址归零,从而将_fcgi_data_seg构造体中的pos指针归零,掌握FCGI_PUTENV函数的结果:
通过剖析FCGI_PUTENV的内部实现,我们创造只要布局合理的数据包,就可以掌握PHP任意全局变量:
一旦攻击者掌握了PHP全局变量,便可以在相应目录下包含NextCry打单程序,进而实行打单。
样本分析
文件名称nextcry文件类型Linux ELFMD58c6ed96e6df3d8a9cda39aae7e87330c打包程序PyInstaller
通过对PyInstaller解出来的pyc进行反编译后得到了打单的源代码,从mian函数中可以看出,一旦入侵成功之后,便会读取nextcloud的配置文件来搜索Nextcloud文件共享并同步数据目录
之后开始利用AES加密文件,并利用内置RSA公钥加密AES密钥
将加密后的AES密钥保存到keys.ENC文件中,末了天生打单信index.php
打单信如下,哀求支付0.025比特币,目前无法在不支付赎金的情形下解密。
结论
奇安信威胁情报中央目前已经检测到有用户中招,请网站管理员更新PHP软件包并更新Nginx配置文件,将干系项改为:
目前奇安信集团全线产品,包括天擎、天眼、SOC、态势感知、威胁情报平台,支持对涉及干系攻击活动的检测和干系打单病毒的查杀。
IOC
MD5:
8c6ed96e6df3d8a9cda39aae7e87330c
打单比特币钱包地址:1K1wwHCUpmsKTuDh9TagfJ4h2bKMxLkjpY
联系邮箱:aksdkja0sdp@ctemplar.com
参考链接
[1] https://help.nextcloud.com/t/urgent-security-issue-in-nginx-php-fpm/62665
[2] https://paper.seebug.org/1063/
[3] https://blog.qualys.com/webappsec/2019/10/30/php-remote-code-execution-vulnerability-cve-2019-11043
原文链接:https://www.anquanke.com/post/id/193365
