研究人員最近發(fā)現(xiàn)一個(gè)活躍的僵尸網(wǎng)絡(luò),由遍布30個(gè)國(guó)家的數(shù)十萬個(gè)被劫持的系統(tǒng)組成,該攻擊正在利用“數(shù)十個(gè)已知漏洞”,將廣泛使用的內(nèi)容管理系統(tǒng)(CMS)作為攻擊目標(biāo)。
據(jù)悉,“KashmirBlack”活動(dòng)于2019年11月左右開始,目標(biāo)是針對(duì)流行的CMS平臺(tái),如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。
Imperva的研究人員在一份分析報(bào)告中說:
“它精心設(shè)計(jì)的基礎(chǔ)設(shè)施使得它很容易擴(kuò)展和增加新的漏洞或有效載荷,而且它使用復(fù)雜的方法來偽裝自己不被發(fā)現(xiàn),并保護(hù)它的運(yùn)行。”
這家網(wǎng)絡(luò)安全公司對(duì)KashmirBlack僵尸網(wǎng)絡(luò)進(jìn)行了為期六個(gè)月的調(diào)查,結(jié)果顯示,該復(fù)雜操作由一臺(tái)命令控制(C2)服務(wù)器和60多個(gè)代理服務(wù)器管理,這些服務(wù)器與僵尸網(wǎng)絡(luò)進(jìn)行通信以發(fā)送新目標(biāo),從而通過暴力攻擊和安裝后門來訪問僵尸網(wǎng)絡(luò),擴(kuò)大僵尸網(wǎng)絡(luò)的規(guī)模。
KashmirBlack的主要目的是濫用門羅幣加密貨幣挖掘系統(tǒng)的資源,并將網(wǎng)站的合法流量重定向到垃圾郵件頁面,但是,它也被用來進(jìn)行攻擊。
無論出于何種動(dòng)機(jī),開發(fā)嘗試均始于利用PHPUnit RCE漏洞(CVE-2017-9841)用與C2服務(wù)器通信的下一階段惡意有效載荷感染客戶。
Imperva的研究人員發(fā)現(xiàn),根據(jù)在曾經(jīng)的這種攻擊中發(fā)現(xiàn)的攻擊特征,他們相信這個(gè)僵尸網(wǎng)絡(luò)是由一個(gè)名叫Exect1337的黑客所為,他是印尼黑客團(tuán)隊(duì)PhantomGhost的成員。
KashmirBlack的基礎(chǔ)架構(gòu)很復(fù)雜,包括多個(gè)活動(dòng)部分,包括兩個(gè)獨(dú)立的存儲(chǔ)庫,一個(gè)用于托管漏洞利用程序和有效載荷,另一個(gè)用于存儲(chǔ)惡意腳本以與C2服務(wù)器通信。
僵尸程序本身要么被指定為“傳播僵尸程序”,一個(gè)受害者服務(wù)器,與C2通信,接收感染新受害者的命令;要么被指定為“待定僵尸程序”,一個(gè)新被入侵的受害者,其在僵尸網(wǎng)絡(luò)中的作用尚未確定。
當(dāng)CVE-2017-9841被用來將一個(gè)受害者變成一個(gè)傳播僵尸時(shí),成功利用CMS系統(tǒng)的15個(gè)不同的漏洞會(huì)導(dǎo)致一個(gè)受害者站點(diǎn)成為僵尸網(wǎng)絡(luò)中一個(gè)新的待處理僵尸,KashmirBlack運(yùn)營(yíng)商使用了一個(gè)單獨(dú)的WebDAV文件上傳漏洞來造成損壞。
但隨著僵尸網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大,越來越多的僵尸開始從存儲(chǔ)庫獲取有效載荷,基礎(chǔ)設(shè)施也進(jìn)行了調(diào)整,增加了一個(gè)載荷均衡器對(duì)象,以返回一個(gè)新設(shè)置的冗余存儲(chǔ)庫的地址,從而使其更具可擴(kuò)展性。
KashmirBlack的最新版本也許是非常危險(xiǎn),上個(gè)月,研究人員發(fā)現(xiàn)僵尸網(wǎng)絡(luò)使用Dropbox替代了其C2基礎(chǔ)架構(gòu),濫用了云存儲(chǔ)服務(wù)的API來獲取攻擊指令并從傳播中的僵尸網(wǎng)絡(luò)上傳攻擊報(bào)告。
Imperva的研究人員發(fā)現(xiàn)轉(zhuǎn)移到Dropbox可以使僵尸網(wǎng)絡(luò)將合法的Web服務(wù)隱藏在非法犯罪活動(dòng)中。這是偽裝僵尸網(wǎng)絡(luò)流量、保護(hù)C&C操作安全的關(guān)鍵一步,最重要的是,這樣做的目的是研究人員很難追蹤僵尸網(wǎng)絡(luò),以找到攻擊背后的組織。