Windows服务器管理员且注意 黑客正利使用IIS 6.0漏洞挖掘加密货币

作者 : 开心源码 本文共1219个字,预计阅读时间需要4分钟 发布时间: 2022-05-11 共60人阅读

Windows服务器管理员且注意 黑客正利使用IIS 6.0漏洞挖掘加密货币

F5研究室的研究人员在最近发现了一场新的黑客攻击活动,旨在利使用一个存在于IIS 6.0中的漏洞来劫持Windows服务器,并安装使用于挖掘以太坊(Electroneum)加密货币的恶意软件。

被黑客利使用的漏洞被追踪为CVE-2017-7269,这是一个由我国国内的两位研究人员于2017年3月发现的影响IIS WebDAV服务的缓冲区溢出漏洞,成功利使用可导致远程代码执行。

这个漏洞自2016年6月以来就一直存在,也就是说直到被发现,它已经存在了近9个月的时间,并且在被发现时就已经在某些攻击活动中被利使用。

IIS 6.0发布于2010年11月,通常伴随着Windows Server 2003和Windows XP一起被提供。微软最初表示,它并不打算修复这个漏洞。由于在漏洞披露的两年前,微软就已经将IIS 6.0 置于“终止支持”状态。

不过,因为该漏洞与黑客组织Shadow Brokers(影子经纪人)于2017年4月泄露的EXPLODINGCAN NSA漏洞利使用存在共同特点,最终于2017年6月中旬得到修复。

虽然已经被修复,但自从被披露以来,该漏洞就被至少一个黑客组织利使用来劫持仍在运行IIS 6.0的Windows服务器,使用于部署加密货币矿工。网络安全公司ESET就在2017年报告称,这个漏洞被滥使用来挖掘门罗币(Monero )。

F5研究室的研究人员表示,在新的攻击活动中,攻击者几乎照搬了由研究人员发布的概念验证(POC)代码,但嵌入了不同的shellcode以执行其发出的命令。

攻击者利使用CVE-2017-7269提供了一个ASCII shellcode,其中包含一个返回导向编程(ROP)漏洞利使用链,可在易受攻击的服务器上安装反向shell。而后,攻击者会用这个反向shell来下载矿工(XMRig 2.5.2)并开始挖掘过程。

Windows服务器管理员且注意 黑客正利使用IIS 6.0漏洞挖掘加密货币

不仅如此,攻击者还用了一种被称为“Squiblydoo”的攻击技术来将矿工假装成合法的lsass.exe(本地安全机构子系统服务)进程来掩盖感染进程。

根据攻击者加密货币钱包显示的信息来看,这场活动似乎并不算太成功。截止到上周,攻击者仅赚取到了大约99美元。F5研究室的研究人员表示,这可可以来自两个起因:一是攻击者会经常更换钱包地址,二是已经没有太多的IIS 6.0服务器可供利使用。

Windows服务器管理员且注意 黑客正利使用IIS 6.0漏洞挖掘加密货币

虽然攻击者尚未可以够在这场攻击活动中赚到多少钱,但它还是至少让我们看到,即便某些软件或者者服务已经到了“生命末期”,但它们仍会是攻击者为取得价值的攻击目标。

尽管淘汰老旧设施对于某些企业来说并不容易,但在修补程序发布后立即进行安装,我们相信这是所有企业都可以够做到的,而这样简单的一个操作却可以够让企业避免很多潜在的安全威胁。即便无法及时修复,创立防火墙规则或者将关键设施置于专使用网络中也应该是各企业网络管理人员首先应该考虑采取的安全措施。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » Windows服务器管理员且注意 黑客正利使用IIS 6.0漏洞挖掘加密货币

发表回复