F5研究室的研究人员在最近发现了一场新的黑客攻击活动,旨在利用一个存在于IIS 6.0中的漏洞来劫持Windows服务器,并安装用于挖掘以太坊(Electroneum)加密货币的恶意软件。
被黑客利用的漏洞被追踪为CVE-2017-7269,这是一个由我国国内的两位研究人员于2017年3月发现的影响IIS WebDAV服务的缓冲区溢出漏洞,成功利用可导致远程代码执行。
这个漏洞自2016年6月以来就一直存在,也就是说直到被发现,它已经存在了近9个月的时间,并且在被发现时就已经在某些攻击活动中被利用。
IIS 6.0发布于2010年11月,通常伴随着Windows Server 2003和Windows XP一起被提供。微软最初表示,它并不打算修复这个漏洞。因为在漏洞披露的两年前,微软就已经将IIS 6.0 置于“终止支持”状态。
不过,由于该漏洞与黑客组织Shadow Brokers(影子经纪人)于2017年4月泄露的EXPLODINGCAN NSA漏洞利用存在共同特点,最终于2017年6月中旬得到修复。
尽管已经被修复,但自从被披露以来,该漏洞就被至少一个黑客组织利用来劫持仍在运行IIS 6.0的Windows服务器,用于部署加密货币矿工。网络安全公司ESET就在2017年报告称,这个漏洞被滥用来挖掘门罗币(Monero )。
F5研究室的研究人员表示,在新的攻击活动中,攻击者几乎照搬了由研究人员发布的概念验证(POC)代码,但嵌入了不同的shellcode以执行其发出的命令。
攻击者利用CVE-2017-7269提供了一个ASCII shellcode,其中包含一个返回导向编程(ROP)漏洞利用链,可在易受攻击的服务器上安装反向shell。然后,攻击者会使用这个反向shell来下载矿工(XMRig 2.5.2)并开始挖掘过程。
不仅如此,攻击者还使用了一种被称为“Squiblydoo”的攻击技术来将矿工伪装成合法的lsass.exe(本地安全机构子系统服务)进程来掩盖感染进程。
根据攻击者加密货币钱包显示的信息来看,这场活动似乎并不算太成功。截止到上周,攻击者仅赚取到了大约99美元。F5研究室的研究人员表示,这可能来自两个原因:一是攻击者会经常更换钱包地址,二是已经没有太多的IIS 6.0服务器可供利用。
尽管攻击者尚未能够在这场攻击活动中赚到多少钱,但它还是至少让我们看到,即使某些软件或者服务已经到了“生命末期”,但它们仍会是攻击者为获得价值的攻击目标。
虽然淘汰老旧设备对于某些企业来说并不容易,但在修补程序发布后立即进行安装,我们相信这是所有企业都能够做到的,而这样简单的一个操作却能够让企业避免很多潜在的安全威胁。即使无法及时修复,创建防火墙规则或将关键设备置于专用网络中也应该是各企业网络管理人员首先应该考虑采取的安全措施。