KashmirBlack 殭屍網路劫持了大量CMS網站

研究人員最近發現一個活躍的殭屍網路，由遍佈30個國家的數十萬個被劫持的系統組成，該攻擊正在利用“數十個已知漏洞”，將廣泛使用的內容管理系統(CMS)作為攻擊目標。

據悉，“KashmirBlack”活動於2019年11月左右開始，目標是針對流行的CMS平臺，如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。

Imperva的研究人員在一份 分析報告 中說：

“它精心設計的基礎設施使得它很容易擴充套件和增加新的漏洞或有效載荷，而且它使用複雜的方法來偽裝自己不被發現，並保護它的執行。”

這家網路安全公司對KashmirBlack殭屍網路進行了為期六個月的調查，結果顯示，該複雜操作由一臺命令控制（C2）伺服器和60多個代理伺服器管理，這些伺服器與殭屍網路進行通訊以傳送新目標，從而通過暴力攻擊和安裝後門來訪問殭屍網路，擴大殭屍網路的規模。

KashmirBlack的主要目的是濫用門羅幣加密貨幣挖掘系統的資源，並將網站的合法流量重定向到垃圾郵件頁面，但是，它也被用來進行攻擊。

無論出於何種動機，開發嘗試均始於利用PHPUnit RCE漏洞（CVE-2017-9841）用與C2伺服器通訊的下一階段惡意有效載荷感染客戶。

Imperva的研究人員發現，根據在曾經的這種攻擊中發現的攻擊特徵，他們相信這個殭屍網路是由一個名叫Exect1337的黑客所為，他是印尼黑客團隊PhantomGhost的成員。

KashmirBlack的基礎架構很複雜，包括多個活動部分，包括兩個獨立的儲存庫，一個用於託管漏洞利用程式和有效載荷，另一個用於儲存惡意指令碼以與C2伺服器通訊。

殭屍程式本身要麼被指定為“傳播殭屍程式”，一個受害者伺服器，與C2通訊，接收感染新受害者的命令；要麼被指定為“待定殭屍程式”，一個新被入侵的受害者，其在殭屍網路中的作用尚未確定。

當CVE-2017-9841被用來將一個受害者變成一個傳播殭屍時，成功利用CMS系統的15個不同的漏洞會導致一個受害者站點成為殭屍網路中一個新的待處理殭屍，KashmirBlack運營商使用了一個單獨的WebDAV檔案上傳漏洞來造成損壞。

但隨著殭屍網路的規模不斷擴大，越來越多的殭屍開始從儲存庫獲取有效載荷，基礎設施也進行了調整，增加了一個載荷均衡器物件，以返回一個新設定的冗餘儲存庫的地址，從而使其更具可擴充套件性。

KashmirBlack的最新版本也許是非常危險，上個月，研究人員發現殭屍網路使用Dropbox替代了其C2基礎架構，濫用了雲端儲存服務的API來獲取攻擊指令並從傳播中的殭屍網路上傳攻擊報告。

Imperva的研究人員發現轉移到Dropbox可以使殭屍網路將合法的Web服務隱藏在非法犯罪活動中。這是偽裝殭屍網路流量、保護C&C操作安全的關鍵一步，最重要的是，這樣做的目的是研究人員很難追蹤殭屍網路，以找到攻擊背後的組織。