关于近期活跃僵尸网络Sysrv-hello的预警通报
2021.03.20
近期通过国资国企网络信息安全在线监管平台监测发现僵尸网络Sysrv-hello较为活跃,该僵尸网络病毒于2020年12月9日首次被平台捕获。初期主要针对开放80和8080的WEB信息系统进行弱口令爆破,3月起主要通过ThinkPHP 5.x远程命令执行漏洞实施攻击。
进一步研究发现,该病毒由蠕虫和挖矿两部分组成,Golang语言编写,具有Windows和Linux两类载荷,通过爆破和漏洞传播,发现至今短短4个月内更新频繁,从下载脚本分析已经更新了6代,目前活跃的是第6代Sysrv006。该僵尸网络病毒最初传播方式主要通过扫描随机IP的指定开放端口,针对8080端口(Tomcat、jenkins、Nexus)和3306端口(MySQL)进行爆破,并对7001端口(WebLogic)进行CVE-2020-14882漏洞攻击。随着更新迭代不断增加攻击方式,除了增加弱口令爆破外,漏洞攻击方式增加到17种。由此可看出该僵尸网络背后的运营团队掌握着丰富的漏洞攻击武器库,预测该僵尸网络病毒未来可能会集成更多的漏洞攻击载荷,具备更强的突破植入能力。
一、修复建议
建议相关单位针对该僵尸网络涉及的漏洞(列表附后)进行加固,并对暴露在公网的业务应用采用复杂口令。
二、弱口令爆破方式如下
1. Tomcat弱口令爆破
2. Nexus弱口令爆破
3. Mysql弱口令爆破
4. Jupyter弱口令爆破
5. WordPress弱口令爆破
6. Jenkins弱口令爆破
三、漏洞利用方式如下
1. Weblogic远程代码执行漏洞(CVE-2020-14882)
2. Redis未授权写入计划任务
3. Apache Solr命令执行漏洞入侵(CVE_2019_0193)
4. Hadoop未授权漏洞利用
5. XXLjob未授权漏洞利用
6. Thinkphp 命令执行漏洞
7. Supervisord 命令执行漏洞(CVE-2017-11610)
8. Joomla 反序列化漏洞(CVE-2015-8562)
9. Phpunit 远程代码执行漏洞(CVE-2017-9841)
10. Apache Unomi远程代码执行漏洞 (CVE-2020-13942)
11. SaltStack 命令注入漏洞(CVE-2020-16846)
12. Mongo-express 远程代码执行漏洞(CVE-2019-10758)
13. Drupal 远程代码执行漏洞(CVE-2018-7600)
14. Jenkins远程命令执行漏洞(CVE-2018-1000861)
15. Jboss反序列化漏洞(CVE-2017-12149)
16. Confluence远程代码执行漏洞(CVE-2019-3396)
17. Laravel远程代码执行漏洞(CVE-2021-3129)
(国资国企安全响应中心(CASRC)作为收集用户及自身资产相关漏洞和威胁情报的窗口,是中资网安对外发布突发安全事件处置响应的平台,旨在充分利用全社会的白帽子资源及各安全公司技术优势,以平台为纽带共同服务于国资国企网络信息安全,打造健康、可信赖的互联网安全生态。)
