360CERT：利用WebLogic漏洞挖矿事件分析

阅读量585510

发布时间 : 2017-12-25 14:01:13

本文是翻译文章

译文仅供参考，具体内容表达以及含义原文为准。

近日，360攻防实验室（360ADLab）共享了一份“黑客利用Oracle WebLogic漏洞攻击”的威胁情报，攻击者疑似利用CVE-2017-3506/CVE-2017-10352漏洞进行加载恶意程序进行门罗币挖矿攻击。

360ADLab和360CERT对此次事件进行了技术分析。

鉴于该漏洞可直接远程获取目标系统权限和虚拟货币的明显增值，建议相关企业尽快进行安全评估。

根据目前的信息分析，攻击者使用的漏洞为Oracle WebLogic已修复的漏洞CVE-2017-3506/CVE-2017-10352。

该类型漏洞攻击方式比较简单，攻击者通过特殊构造的HTTP包就能获取目标系统权限，且该漏洞影响到Linux和Windows等平台下的WebLogic服务。

分析人员在使用已公开的WebLogic攻击代码测试后，根据返回包异常信息中的调用栈可以知道会进入到WorkContextXmlInputAdapter类中的readUTF方法中去：

WorkContextXmlInputAdapter类其中一部分：

在这里是会使用XMLDecoder来进行反序列化的。通过下断点远程调试来观察其具体流程：

可以看到攻击代码中构造好的数据直接进入到了XMLDecoder类的readObject方法中，接下来的便是获取对象类型，参数和执行方法的反序列化过程。攻击代码中使用ProcessBuilder来实现远程命令执行。针对这个地方的漏洞，weblogic在4月份是发布了补丁的。下面是WorkContextXmlInputAdapter类源代码和4月份补丁的对比：

可以明显看到添加了一个validate方法来对输入流进行校验，但是该校验方法是非常简单的，通过获取标签名来检测是否有object标签的出现，要是出现了object标签便抛出异常来终止执行流程。但是这个检测方法是非常不严谨的，在不使用object标签的情况下一样是可以利用的。利用演示：

最后看下10月份的补丁：

相对于4月份的补丁来说添加了更多对于其它标签的检测，只有打了10月份的补丁这个漏洞才能真正被补上。

攻击者通过预先收集包括Windows和Linux平台的WebLogic目标主机（实际上不仅仅是WebLogic漏洞），再通过CVE-2017-3506/CVE-2017-10352对目标主机植入挖矿程序，包括Carbon/xmrig, , Claymore-XMR-CPU-Miner等。该攻击行为会造成目标主机CPU资源耗尽等风险。

根据对45[.]123[.]190[.]178等一系列C2里存活样本的分析，攻击者整体上会进行如下攻击流程：

1. 通过WebLogic等漏洞植入对应恶意代码。

2. 攻击时会适配对应系统：

a) Windows通过PowerShell脚本，win.txt。

b) Linux平台通过Shell脚本，lin.txt。

3. 具体会执行如下挖矿操作（疑似xmrig）：

a) 创建挖矿进程

b) 注册矿机信息

c) 存活性监测

1. 攻击者挖矿xmrig，github地址为：

2. 相关PowerShell脚本

3. 相关Shell脚本

4. 运行状态

5. 部分文件组成

6. 帐号相关信息

7. 疑似被黑网站，用作C2

域名/IP

45[.]123[.]190[.]178

69[.]165[.]65[.]252

www.letsweb.000webhostapp.com

360ADLab和360CERT建议受该漏洞影响的用户，及时更新相关补丁。

2017-04-24 CVE-2017-3506披露 2017-10-19 CVE-2017-10352披露 2017-12-20 360ADLab提供威胁情报 2017-12-22 360ADLab 和360CERT对事件进行分析

1. 关于近期发生的利用weblogic漏洞进行挖矿事件的漏洞简要分析 https://www.anquanke.com/post/id/92003

本文由360CERT安全通告原创发布

转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/92223

安全客 - 有思想的安全新媒体

本文转载自:

如若转载,请注明出处：

安全客 - 有思想的安全新媒体