一次网络蠕虫攻击浅谈(W20190105) - 生态安全
 


简述:



什么是网络蠕虫?

简单描述为: 利用网络及漏洞进行复制和传播的恶意程序代码



有史可考的第一个网络蠕虫: 

1988年11月2日晚上7时许,美国康奈尔大学的学生罗伯特·塔潘·莫里斯释放,程序只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名单,然后破译用户口令,用Mail系统复制、传播本身的源程序,再编译生成代码。

“莫里斯”(Morris)蠕虫的源代码存放于一个黑色3.5英寸软盘中,存放在波士顿科学博物馆(Boston Museum of Science)中,如图(可能是纪念他发现网络重大安全问题,刷新公众认知):



* 到去年年末,第一个网络蠕虫正好诞生30年整.



常见网络蠕虫,可简单分级分类(便于理解):

1.应用级(拥有的最高控制权限为应用权限,如:mail、web社交等应用)

第一个典型的纯应用级蠕虫: 2005年,社交应用MySpace利用XSS漏洞生成传播的Samy蠕虫.



2.操作系统级(拥有的最高控制权限为操作系统权限,如:应用服务器、PC、智能或网络等设备)

典型的就是200X年期间,一系列Windows能良好利用的RCE 0day漏洞生成的操作系统级蠕虫(有时也混合应用级蠕虫一起传播),这是我们新闻上经常看到的,就不举例了.

* 通常操作系统级蠕虫危害大于应用级蠕虫,应用级蠕虫威力在于更容易达到感染的数量级.



蠕虫简单原理: 

利用应用或操作系统漏洞(利用难度低的RCE漏洞效果最佳)  -->  各类传播方式(被动式欺骗和主动式漏洞扫描)  -->  复制自身(感染用户)



问题过程:



回到我们本次要讲的蠕虫攻击,根据发现时间给蠕虫简单编号为: W20190105



发现蠕虫 W20190105

因为服务器带宽资源比较紧张,大量的Web扫描会产生明显的网络异常波动,以前也经常被蠕虫扫,本次比较频繁,这只蠕虫应该比较大,分析日志获取样本后确认是蠕虫 W20190105

如何简单判断扫描不是安全平台或黑客工具扫描,而是蠕虫扫描?



1.扫描次数多而零散(几天内,不同时间段出现扫描)

2.扫描攻击目标服务器分布(分布零散,目前发现感染的主机主要是国内)

3.扫描特征(请求特征简单一致,请求地址、UA等)

4.不同地域的服务器日志,该日期段发现同一特征扫描(国内和国外的服务器日志都有发现)

等等

如图:













根据日志,获取感染主机IP列表:

211.159.165.x (北京市 腾讯云)

180.208.68.x (南京市 教育网)

211.149.137.x (成都市 电信)

101.1.31.x (香港特别行政区)

182.16.9.x (香港特别行政区)

139.224.118.x (上海市 阿里云)

61.50.105.x (北京市 联通)

124.106.83.x (菲律宾)

14.63.218.x (韩国)

......



根据扫描测试地址,在感染主机发现相关漏洞(蠕虫需要获取系统权限的漏洞),phpMyAdmin、Tomcat后台弱口令、ECSHOP远程代码执行漏洞等,如图:









W20190105样本,如图:



包含大量最近几年的Windows漏洞利用程序代码,这些win漏洞主要影响传统网络和内网环境,而主要传播方式还是靠PHP和Java Web漏洞,也是现在蠕虫的一个特点(IDA调试解密及发现其他敏感信息这里不细表了),如图:



包含扫描、注册系统计划、挖矿、打击竞争对手等程序代码等,一年感染期间经历版本更新,蠕虫产品化特点,如图:















* 简单总结本次蠕虫: 外网主要靠Web漏洞利用,内网再加上操作系统利用难度较大的RCE漏洞,传统网络蠕虫出现次数相对变少.而今后网络蠕虫更多会在智能硬件领域和工业互联网出现,危害更大.



现在蠕虫的实现成本已经极低了,但也有<<网络安全法>>管理,需要考虑个人付出成本!





  作者: 网络蠕虫分析师 - 莫斯里安      日期: 2019-01-07    转载请注明来自SecAPK.cn    




 
Copyright ©2017-2018, SecAPK.cn, All Rights Reserved
 
反馈邮箱: feedback@SecApk.cn    鄂ICP备17017458号-1