通報:騰訊主機安全捕獲YAPI遠端程式碼執行0day漏洞在野利用,該攻擊正在擴散,可使用防火牆阻截

語言: CN / TW / HK

一、概述

騰訊主機安全(雲鏡)捕獲YAPI遠端程式碼執行0day漏洞在野利用,該攻擊正在擴散。受YAPI遠端程式碼執行0day漏洞影響,從7月第1周開始,未部署任何安全防護系統的失陷雲主機數已達數千臺。先後出現兩次失陷高峰,一次在7月3號,一次在7月7號。BillGates僵屍網路在7月1日首先發起攻擊,7月4日Mirai僵屍網路木馬攻擊的規模更大,已部署騰訊雲防火牆的雲主機成功防禦了此輪的攻擊。

圖1

​BillGates僵屍網路與Mirai僵屍網路木馬為存在多年十分活躍的僵屍網路家族,這兩個僵屍網路家族多用高危漏洞利用做為入侵手段,騰訊安全研究人員發現這兩個團伙正在利用YAPI介面管理平臺遠端程式碼執行漏洞發起攻擊,目前該漏洞暫無補丁,處於0day狀態。

YAPI介面管理平臺是國內某旅行網站的大前端技術中心開源專案,使用mock資料/指令碼作為中間互動層,為前端後臺開發與測試人員提供更優雅的介面管理服務,該系統被國內較多知名網際網路企業所採用。騰訊安全網路空間測繪資料顯示,國內採用YAPI介面管理平臺的伺服器上萬臺,主要分佈於浙江、北京、上海、廣東等省市(佔比超過80%)。

圖2

因YAPI遠端程式碼執行0day漏洞暫無補丁,BillGates僵屍網路與Mirai僵屍網路木馬家族主要利用受控主機進行DDoS攻擊、留置後門或進行挖礦作業。騰訊安全專家建議採用YAPI介面管理平臺的政企機構儘快採取以下措施緩解漏洞風險:

  • 部署騰訊雲防火牆實時攔阻威脅;
  • 關閉YAPI使用者註冊功能,以阻斷攻擊者註冊;
  • 刪除惡意已註冊使用者,避免攻擊者再次新增mock指令碼;
  • 刪除惡意mock指令碼,防止再被訪問觸發;
  • 伺服器回滾快照,可清除利用漏洞植入的後門。

騰訊安全威脅情報系統已支援自動化輸出告警事件詳細分析報告,方便安全運維人員獲得更豐富的情報資訊,以便對告警事件進行回溯處置。

圖3

騰訊安全旗下全系列產品已經支援對YAPI介面管理平臺遠端程式碼執行漏洞的利用進行檢測防禦:

圖4

二、騰訊安全解決方案

BillGates家族與Mirai家族相關威脅資料已加入騰訊安全威脅情報,賦能給騰訊全系列安全產品,企業客戶通過訂閱騰訊安全威脅情報產品,可以讓全網所有安全裝置同時具備和騰訊安全產品一致的威脅發現、防禦和清除能力。

騰訊安全威脅情報中心檢測到利用YAPI介面管理平臺遠端程式碼執行漏洞發起的攻擊活動已影響數千臺未部署任何安全防護產品的雲主機,騰訊安全專家建議政企機構公有云系統部署騰訊雲防火牆、騰訊主機安全(雲鏡)等產品檢測防禦相關威脅。

騰訊雲防火牆支援檢測阻截利用YAPI介面管理平臺遠端程式碼執行漏洞發起的攻擊活動。騰訊雲防火牆內建虛擬補丁防禦機制,可積極防禦某些高危且使用率很高的漏洞利用。

圖5

圖6

已部署騰訊主機安全(雲鏡)的企業客戶可以通過高危命令監控發現,騰訊主機安全(雲鏡)可對攻擊過程中產生得木馬落地檔案進行自動檢測,客戶可登入騰訊雲->主機安全控制檯,檢查病毒木馬告警資訊,將惡意木馬一鍵隔離或刪除。客戶可通過騰訊主機安全的漏洞管理、基線管理功能對網路資產進行安全漏洞檢測和弱口令檢測。

圖7

私有云客戶可通過旁路部署騰訊高階威脅檢測系統(NTA、御界)進行流量檢測分析,及時發現黑客團伙利用漏洞對企業私有云的攻擊活動。騰訊高階威脅檢測系統(NTA、御界)可檢測到利用YAPI介面管理平臺遠端程式碼執行漏洞發起的惡意攻擊活動。

圖8

企業客戶可通過旁路部署騰訊天幕(NIPS)實時攔阻利用YAPI介面管理平臺遠端程式碼執行漏洞的網路通訊連線,徹底封堵攻擊流量。騰訊天幕(NIPS)基於騰訊自研安全算力演算法PaaS優勢,形成具備萬億級海量樣本、毫秒級響應、自動智慧、安全視覺化等能力的網路邊界協同防護體系。

三、YAPI介面管理平臺0day漏洞分析

YAPI介面管理平臺是某網際網路企業大前端技術中心開源專案,使用mock資料/指令碼作為中間互動層,為前端後臺開發與測試人員提供更優雅的介面管理服務。該平臺被國內眾多知名網際網路企業所採用。

其中mock資料通過設定固定資料返回固定內容,對於需要根據使用者請求定製化響應內容的情況mock指令碼通過寫JS指令碼的方式處理使用者請求引數返回定製化內容,本次漏洞就是發生在mock指令碼服務上。

圖9

由於mock指令碼自定義服務未對JS指令碼加以命令過濾,使用者可以新增任何請求處理指令碼,因此可以在指令碼中植入命令,等使用者訪問介面發起請求時觸發命令執行。

該漏洞暫無補丁,建議受影響的企業參考以下方案緩解風險:

  • 部署騰訊雲防火牆實時攔阻威脅;
  • 關閉YAPI使用者註冊功能,以阻斷攻擊者註冊;
  • 刪除惡意已註冊使用者,避免攻擊者再次新增mock指令碼;
  • 刪除惡意mock指令碼,防止再被訪問觸發;
  • 伺服器回滾快照,可清除利用漏洞植入的後門。

四、詳細分析

攻擊指令碼

攻擊者首先註冊功能先註冊賬號,登入賬號後才能自定義mock指令碼。

圖10

攻擊者通過mock指令碼中植入惡意命令,待使用者訪問mock介面發起請求時觸發命令執行。

木馬檔案

7.1號以來主機側累計利用該漏洞捕獲到的木馬檔案:

圖11

木馬檔案詳細資訊:

圖12

本次攻擊投遞的木馬檔案未發現新變種,但漏洞利用速度極快7.2號出現攻擊事件之後,短短一週已有上千臺主機失陷,目前官方尚無補丁可用,受影響的客戶需要在主機側關閉使用者註冊與指令碼新增許可權,已失陷主機需儘快回滾伺服器快照。

BillGates僵屍網路木馬及Mirai僵屍網路木馬和以往的版本並無差異,這裡不再贅述。

威脅視角看攻擊行為

圖13

IOCs

MD5

c303c2fff08565b7977afccb762e2072

56b157ffd5a4b8b26d472395c8d2f7dc

3b904f9bc4f8f504598127ed702c3e1e

URL:

hxxp://2w.kacdn.cn/20000

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://66.42.103.186/hang/x86_64

hxxp://27.50.49.61:1231/X64

「其他文章」