安全加

beta

推荐

安全头条

安全知识

登录注册
首页>安全头条>

WebLogic遭watch-smartd挖矿恶意软件感染 绿盟科技分析防护方案及检测工具

全行业 绿盟科技 远程代码执行漏洞 比特挖矿机 挖矿恶意软件 挖矿病毒 watch-smartd挖矿恶意软件 CVE-2017-10271 CVE-2017-3248 WebLogic WLS 组件远程代码执行漏洞

近期大量WebLogic主机感染挖矿恶意软件watch-smartd,WebLogic是美国Oracle公司出品的一个应用程序服务器。据称目前多行业客户受到感染,且不太容易清除,绿盟科技针对WebLogic WLS 组件 远程代码执行漏洞 CVE-2017-10271 迅速给出了《Weblogic WLS组件漏洞技术分析与防护方案》,下面提要如下,完整方案文档见附件下载。

Update:

Weblogic wls-wsat组件远程命令执行漏洞免费在线检测工具

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

没打10月补丁的WebLogic服务器可能被挖矿恶意软件利用

本月15日,K.Orange在Twitter发推提到未打补丁的WebLogic版本存在漏洞,可能被watch-smartd挖矿恶意软件所利用。

受影响范围

受影响版本

  • Weblogic Server 10.3.6.0.0,
  • Weblogic Server 12.1.3.0.0,
  • Weblogic Server 12.2.1.1.0,
  • Weblogic Server 12.2.1.2.0

以上均为Weblogic官方还在支持的版本

不受影响的版本

  • Weblogic Server 12.2.1.3

WebLogic是什么

WebLogic是美国Oracle公司出品的一个应用程序服务器,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。目前,绿盟科技应急响应团队陆续接到来自金融、运行商、互联网等多个行业客户的应急响应服务需求。

watch-smartd挖矿恶意软件初步分析

在WebLogic服务器/tmp/目录发现运行中的watch-smartd程序,极大消耗服务器CPU和内存资源。同时的可能还有watch-smartd的早期版本Carbon、carbon。该挖矿程序不存在维持进程和复活的功能,但在清除该程序后不定期又会出现。

watch-smartd连接的矿池地址为minergate.com、pool.minexmr.com。

通过对受害主机进行监控和分析,证实攻击者正是利用WebLogic wls-wsat组件远程命令执行漏洞下载并运行挖矿程序。

攻击者首先下载名为setup-watch的shell脚本,其作用是下载并运行watch-smartd挖矿程序。

目前Oracle公司官网和公开漏洞库中并未发现该漏洞信息,我们初步判断此次攻击为0day漏洞攻击。默认配置下的WebLogic在漏洞执行过程中不会留下任何痕迹,攻击者利用漏洞反复下载并运行挖矿程序,导致难以清除。

技术防护方案

用户自查

由于此次攻击主要目的为下载执行挖矿程序,从主机层面可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对C&C地址及矿池相关域名/IP进行监控,以发现其他受感染主机。

针对linux主机,首先查看/tmp目录中是否存在属主为WebLogic运行账户的相关可疑文件,如:watch-smartd、Carbon、default。

同时通过进程及系统资源分析,是否存在启动用户为WebLogic运行账户的相关可疑进程。

同时在网络层,通过防火墙或相关的入侵防御设备,对C&C地址及矿池相关域名/IP进行监测,涉及域名及IP包括:

minergate.com

minexmr.com

78.46.91.134

104.25.208.15

104.25.209.15

136.243.102.167

136.243.102.154

94.130.143.162

88.99.142.163

72.11.140.178

官方修复方案

Oracle官方对于Weblogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议用户及时下载更新包,升级至最新版本进行防护。

下载链接:

http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html

绿盟科技防护建议

绿盟科技检测类产品与服务

  • 公网资产可使用绿盟云 紧急漏洞在线检测,检测地址如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

  • 内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6/V5 )或 Web应用漏洞扫描系统(WVSS) 进行检测:

远程安全评估系统(RSAS V6)

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

远程安全评估系统(RSAS V5)

http://update.nsfocus.com/update/listAurora/v/5

Web应用漏洞扫描系统(WVSS)

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

  • 内网资产可以使用绿盟科技的入侵检测系统(IDS) 进行检测。

入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

通过上述链接,升级至最新版本即可进行检测

使用绿盟科技防护类产品(IPS/NF/WAF)进行防护:

入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

下一代防火墙系统(NF)

http://update.nsfocus.com/update/listNf

Web应用防护系统(WAF)

http://update.nsfocus.com/update/wafIndex

通过上述链接,升级至最新版本即可进行防护!

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Weblogic WLS组件漏洞技术分析与防护方案

点击图片下载

文章附件

文章无附件

*文章为作者独立观点,不代表安全加立场

本文由:安全加发布,版权归属于原作者。 如果转载,请注明出处及本文链接:

如果此文章侵权,请留言,我们进行删除。

作者

您可能对以下关键词感兴趣哟,请用鼠标滑过或点击关键词 :

相关文章

无相关文章
无相关文章

参与讨论

0/300 发表评论
当前无评论

快速注册

请填写正确的邮箱格式,不能为空
请填写验证码
密码应为数字、字母、英文标点符号,长度为6-14位
两次密码不统一
立即注册

已有账号?

登录忘记密码

快速登录

手机号或邮箱不存在
密码错误请重新输入
立即登录

还没有账号?

注册忘记密码
© 2018 安全加 社区. All Rights Reserved.