騰訊安全：Mirai蠕蟲病毒變種借ThinkPHP高危漏洞傳播

近期,騰訊安全御見威脅情報中心監(jiān)測到某教育科技機構(gòu)服務器遭到ThinkPHP V5* 遠程代碼執(zhí)行漏洞攻擊。經(jīng)分析,病毒作者主要參考Mirai和Gafgyt源代碼的變種病毒,直接開發(fā)Mirai蠕蟲病毒的兩個版本,分別針對PC服務器和物聯(lián)網(wǎng)等智能設備發(fā)起攻擊。一般中毒后的系統(tǒng)會成為僵尸網(wǎng)絡的一部分,受不法黑客控制向目標計算機發(fā)起DDoS攻擊,以此獲取經(jīng)濟報酬。

攻擊爆發(fā)之后,騰訊御界高級威脅檢測系統(tǒng)第一時間通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡流量分析,成功感知漏洞的利用和攻擊。據(jù)了解,騰訊“御界”是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數(shù)據(jù),研發(fā)出獨特的威脅情報和惡意檢測模型系統(tǒng),可幫助企業(yè)用戶及時感知惡意流量,檢測釣魚網(wǎng)址和遠控服務器地址在企業(yè)網(wǎng)絡中的訪問情況,全面保護企業(yè)網(wǎng)絡安全。

　　(圖:騰訊御界高級威脅檢測系統(tǒng))

事實上,早在去年12月9日,ThinkPHP官方發(fā)布安全更新,公布了遠程命令執(zhí)行的高危漏洞(CNVD-2018-24942)。不法黑客利用此漏洞可以批量入侵企業(yè)網(wǎng)站,直接影響網(wǎng)站服務器ThinkPHP 5.0.23以下版本。由于此次中毒科技教育機構(gòu)的網(wǎng)站服務器采用ThinkPHP版本為5.1.30,屬于受影響版本范圍。

　　(圖:ThinkPHP 5.1.30版本)

作為一個整體開發(fā)解決方案,ThinkPHP支持windows、Unix、Linux等服務器環(huán)境,以及支持MySql、PgSQL、Sqlite多種數(shù)據(jù)庫和PDO擴展,主要服務簡化企業(yè)級應用開發(fā)和敏捷WEB應用開發(fā)者。自2006年初誕生以來,ThinkPHP秉承簡潔實用的設計原則,受到眾多開發(fā)者的熱捧。根據(jù)國家信息安全漏洞共享平臺探測數(shù)據(jù),全球使用ThinkPHP框架的服務器規(guī)模共計有4.3萬臺,其中,中國、美國和加拿大位居前三。

據(jù)騰訊安全技術專家介紹,Mirai病毒最早出現(xiàn)在2016年,通過感染可訪問網(wǎng)絡的消費級電子設備,以達到組建僵尸網(wǎng)絡進行大規(guī)模網(wǎng)絡攻擊的目的。盡管當前開發(fā)Mirai病毒作者已經(jīng)落網(wǎng),但Mirai的源代碼以開源的形式已發(fā)布至各大黑客論壇,其中的技術也已被一些惡意軟件采用,導致其危害仍在延續(xù)擴散。截至目前,Mirai構(gòu)建的僵尸網(wǎng)絡已經(jīng)參與了幾次影響廣泛的DDoS攻擊,包括2016年9月20日針對計算機安全撰稿人布萊恩·克萊布斯個人網(wǎng)站的攻擊、對法國網(wǎng)站托管商OVH的攻擊,以及2016年10月Dyn公司網(wǎng)絡攻擊事件。

在國內(nèi),騰訊安全御見威脅情報中心對Mirai病毒進行持續(xù)監(jiān)測,曾于去年12月28日發(fā)現(xiàn)其利用SQL Server弱密碼進行暴力入侵的病毒攻擊事件,被入侵的服務器被安裝暗云感染器、Mykings木馬、以及Mirai病毒變種。值得一提的是,該Mirai變種具有針對閉路電視物聯(lián)網(wǎng)設備漏洞進行攻擊的能力,而此次發(fā)現(xiàn)的變種將最新ThinkPHP高危漏洞、多種路由器漏洞、upnp設備漏洞進行組合攻擊,感染能力再次增強。

此外,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)用戶,務必提高網(wǎng)絡安全防范意識,建議盡快更新ThinkPHP到最新版本。同時推薦使用騰訊御界高級威脅檢測系統(tǒng),可有效檢測此類漏洞入侵攻擊。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。