中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

發布時間:2021-10-18 16:06:56 來源:億速云 閱讀:118 作者:柒染 欄目:編程語言

這篇文章將為大家詳細講解有關怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

概述

近日,奇安信病毒響應中心在日常樣本監控過程中發現NextCry Ransomware的新進入渠道,其正在利用PHP-fpm遠程代碼執行漏洞(CVE-2019-11043)針對Linux服務器發起攻擊嘗試入侵。

NextCry勒索是一種新型勒索軟件,該勒索由Python編寫并使用PyInstall打包成Linux ELF二進制文件,采用RSA-2048和AES-256-CBC算法加密指定目錄下的文件,無法解密,從勒索名可以看出,作者試圖致敬2017年的WannaCry勒索蠕蟲。

基于奇安信威脅情報中心的多維度大數據關聯分析,目前該勒索主要攻擊安裝有Nextcloud軟件的服務器,不排除后面會擴大攻擊范圍,為了避免恐慌情緒產生,我們披露此次攻擊事件的部分細節,并給出解決方案。

漏洞分析

Nextcloud是一款開源的用于創建網絡硬盤的客戶端-服務器軟件,常被用來搭建私有云盤,類似于我們熟知的Dropbox。

CVE-2019-11043是一個十月底剛被披露出來的PHP相關漏洞,相應的技術細節已經公開,利用此漏洞可以非常簡單穩定在受影響的服務器上遠程執行任意命令,在啟用PHP-Fpm的Nginx服務器上運行某些版本的PHP 7有可能受到攻擊。沒有運行Nginx服務器理論上則不會產生影響,但值得關注的是Nextcloud軟件默認情況下開啟Nginx服務器,所以幾乎所有的基于Nextcloud的云盤都會受到影響,這或許是攻擊者選擇Nextcloud的原因,Nextcloud官方在第一時間已經發布公告。

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

漏洞出現在fpm_main.c中,當path_info被%0a字符截斷時,值會被歸零:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

由于path_info可控,通過將指針地址歸零,從而將_fcgi_data_seg結構體中的pos指針歸零,控制FCGI_PUTENV函數的結果:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

通過分析FCGI_PUTENV的內部實現,我們發現只要構造合理的數據包,就可以控制PHP任意全局變量:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

一旦攻擊者控制了PHP全局變量,便可以在相應目錄下包含NextCry勒索程序,進而執行勒索。

樣本分析

文件名稱nextcry
文件類型Linux  ELF
MD58c6ed96e6df3d8a9cda39aae7e87330c
打包程序PyInstaller

通過對PyInstaller解出來的pyc進行反編譯后得到了勒索的源代碼,從mian函數中可以看出,一旦入侵成功之后,便會讀取nextcloud的配置文件來搜索Nextcloud文件共享并同步數據目錄。

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

之后開始使用AES加密文件,并使用內置RSA公鑰加密AES密鑰:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

將加密后的AES密鑰保存到keys.ENC文件中,最后生成勒索信index.php:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

勒索信如下,要求支付0.025比特幣,目前無法在不支付贖金的情況下解密。

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

結論

奇安信威脅情報中心目前已經檢測到有用戶中招,請網站管理員更新PHP軟件包并更新Nginx配置文件,將相關項改為:

怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

IOC        
   

MD5:

8c6ed96e6df3d8a9cda39aae7e87330c

勒索比特幣錢包地址:

1K1wwHCUpmsKTuDh9TagfJ4h3bKMxLkjpY

聯系郵箱:

aksdkja0sdp@ctemplar.com

關于怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

黄骅市| 尉犁县| 子洲县| 卢湾区| 义乌市| 琼海市| 无为县| 阿克陶县| 洪江市| 阿拉善盟| 延安市| 敦化市| 呼图壁县| 大冶市| 石屏县| 萝北县| 阳江市| 陆川县| 渝北区| 大姚县| 湘乡市| 新沂市| 昌图县| 五寨县| 忻州市| 阜城县| 安岳县| 桦甸市| 柏乡县| 手游| 云阳县| 嘉鱼县| 凤山市| 自治县| 开封县| 藁城市| 格尔木市| 吉安市| 左贡县| 苏州市| 潼南县|