騰訊安全：Mirai蠕蟲病毒變種借ThinkPHP高危漏洞傳播

近期,騰訊安全御見威脅情報中心監(jiān)測到某教育科技機構服務器遭到ThinkPHP V5* 遠程代碼執(zhí)行漏洞攻擊。經分析,病毒作者主要參考Mirai和Gafgyt源代碼的變種病毒,直接開發(fā)Mirai蠕蟲病毒的兩個版本,分別針對PC服務器和物聯網等智能設備發(fā)起攻擊。一般中毒后的系統(tǒng)會成為僵尸網絡的一部分,受不法黑客控制向目標計算機發(fā)起DDoS攻擊,以此獲取經濟報酬。

攻擊爆發(fā)之后,騰訊御界高級威脅檢測系統(tǒng)第一時間通過對企業(yè)內外網邊界處網絡流量分析,成功感知漏洞的利用和攻擊。據了解,騰訊“御界”是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發(fā)出獨特的威脅情報和惡意檢測模型系統(tǒng),可幫助企業(yè)用戶及時感知惡意流量,檢測釣魚網址和遠控服務器地址在企業(yè)網絡中的訪問情況,全面保護企業(yè)網絡安全。

　　(圖:騰訊御界高級威脅檢測系統(tǒng))

事實上,早在去年12月9日,ThinkPHP官方發(fā)布安全更新,公布了遠程命令執(zhí)行的高危漏洞(CNVD-2018-24942)。不法黑客利用此漏洞可以批量入侵企業(yè)網站,直接影響網站服務器ThinkPHP 5.0.23以下版本。由于此次中毒科技教育機構的網站服務器采用ThinkPHP版本為5.1.30,屬于受影響版本范圍。

　　(圖:ThinkPHP 5.1.30版本)

作為一個整體開發(fā)解決方案,ThinkPHP支持windows、Unix、Linux等服務器環(huán)境,以及支持MySql、PgSQL、Sqlite多種數據庫和PDO擴展,主要服務簡化企業(yè)級應用開發(fā)和敏捷WEB應用開發(fā)者。自2006年初誕生以來,ThinkPHP秉承簡潔實用的設計原則,受到眾多開發(fā)者的熱捧。根據國家信息安全漏洞共享平臺探測數據,全球使用ThinkPHP框架的服務器規(guī)模共計有4.3萬臺,其中,中國、美國和加拿大位居前三。

據騰訊安全技術專家介紹,Mirai病毒最早出現在2016年,通過感染可訪問網絡的消費級電子設備,以達到組建僵尸網絡進行大規(guī)模網絡攻擊的目的。盡管當前開發(fā)Mirai病毒作者已經落網,但Mirai的源代碼以開源的形式已發(fā)布至各大黑客論壇,其中的技術也已被一些惡意軟件采用,導致其危害仍在延續(xù)擴散。截至目前,Mirai構建的僵尸網絡已經參與了幾次影響廣泛的DDoS攻擊,包括2016年9月20日針對計算機安全撰稿人布萊恩·克萊布斯個人網站的攻擊、對法國網站托管商OVH的攻擊,以及2016年10月Dyn公司網絡攻擊事件。

在國內,騰訊安全御見威脅情報中心對Mirai病毒進行持續(xù)監(jiān)測,曾于去年12月28日發(fā)現其利用SQL Server弱密碼進行暴力入侵的病毒攻擊事件,被入侵的服務器被安裝暗云感染器、Mykings木馬、以及Mirai病毒變種。值得一提的是,該Mirai變種具有針對閉路電視物聯網設備漏洞進行攻擊的能力,而此次發(fā)現的變種將最新ThinkPHP高危漏洞、多種路由器漏洞、upnp設備漏洞進行組合攻擊,感染能力再次增強。

此外,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)用戶,務必提高網絡安全防范意識,建議盡快更新ThinkPHP到最新版本。同時推薦使用騰訊御界高級威脅檢測系統(tǒng),可有效檢測此類漏洞入侵攻擊。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。