SambaCry漏洞CVE-2017-7494再被利用 在NAS上装SHELLBIND恶意软件窃取数据

最新推荐文章于 2022-07-25 13:47:26 发布
最新推荐文章于 2022-07-25 13:47:26 发布
阅读量224 收藏
点赞数
文章标签: 网络 操作系统 shell
原文链接:https://yq.aliyun.com/articles/205140
版权

黑客正在利用SambaCry 漏洞,攻击较早版本的 samba 文件共享服务器,并安装木马程序。根据来自趋势科技的专家, 大多数攻击都针对网络连接存储 (nas) 设备,这样的设备不少是用Samba服务进行文件共享的。

通过 SambaCry 漏洞部署SHELLBIND 恶意软件

该恶意软件, 被研究员称为 SHELLBIND, 利用了一个名为SambaCry (或 EternalRed)的漏洞, 该漏洞于2017年5月底披露。这个 漏洞CVE-2017-7494 ,影响了过去七年中发布的 samba 软件的所有版本, 从版本3.5.0 开始。

在Samba小组进行了补丁更新以及漏洞细节被公开的两周之后, 有人用 SambaCry 感染了 linux 服务器, 并安装了一个名叫 EternalMiner 的加密货币矿工。

SHELLBIND 恶意软件打开61422端口

上个月EternalMiner攻击依然在持续, 但在今天的早些时候, 趋势科技发布了一个关于新的 SHELLBIND 恶意软件的报告, 也被发现利用了SambaCry漏洞作为攻击的payload。

据研究人员说, SHELLBIND 是一个简单的后门特洛伊木马程序, 它允许攻击者在受感染的设备上打开远程 shell。特洛伊木马程序能够更改本地防火墙规则,并打开 tcp 端口 61422, 因此攻击者可以连接到受感染的设备。

SHELLBIND通过ping 169.239.128.123/端口80的这个服务器,来通知攻击者它感染了新设备。恶意软件攻击者从服务器日志中提取新的 ip, 并通过端口61422手动连接到每个受感染的主机。

访问 SHELLBIND 的 shell 是受密码保护的。密码在特洛伊木马程序代码中是硬编码的:"Q8pGZFS7N1MObJHf"。

SHELLBIND 最有可能用于数据窃取

与主要针对 linux 服务器的 EternalMiner 相比, SHELLBIND 主要用于攻击 nas 设备, 尽管它也感染了运行易受攻击的 samba 版本的其他类型的设备。

基于恶意软件的特点和其目标攻击的性质,可以推测出, 威胁行为者正在寻找数据窃取, 并可能在地下黑客论坛出售, 或用于索要赎金。

此事件不是影响 nas 设备的第一个安全事件。今年早些时候, 安全研究员 Zenofex 发现了几个影响 wd MyCloud nas 设备型号的漏洞。

在 2016年9月, 一个恶意软件变种名为Mal/Miner-c (也称为 PhotoMiner) 感染了希捷NAS 设备 ,并利用它们来进行Monero加密货币挖矿。

SambaCry漏洞早有官方建议

Samba官方已经提供了新版本来修复上述漏洞,请受影响的用户尽快升级到新版本,下载链接如下:

https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz

趋势科技再给缓解方案

User systems are protected from any threats that may target the SambaCry vulnerability via the following DPI rule:

  • 1008420-Samba Shared Library Remote Code Execution Vulnerability (CVE-2017-7494)

protects customers from this threat via this DDI Rule:

  • 3733 SHELLBIND – TCP (Request)

customers are protected under the filter:

  • 29058: TCP: SambaShell Checkin



原文发布时间: 2017年7月19日
本文由: bleepingcomputer发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/sambacry-backdoors-on-nas
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
Mathilda91
关注
利用Samba远程代码执行漏洞(CVE-2017-7494)获取shell
qq_54713392的博客
05-08 567
利用Samba远程代码执行漏洞(CVE-2017-7494)获取shell 在ubuntu中找到vulhub靶场Samba中的CVE-2017-7494 运行测试环境:docker-compose up -d 攻击机kali打开msf服务 使用漏洞2017-7494模块 配置目标机IP地址192.168.32.142 执行run命令获取shell 测试权限 ...
linux smb 漏洞_Samba 漏洞是Linux 版“永恒之蓝”?看安全人员怎么说
weixin_42638139的博客
12-23 267
雷锋网消息,5月25日,360 技术博客发布了一则博文称,5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017-7494漏洞影响了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。Samb...
arm linux漏洞,Linux/ARM - Bind (/TCP) Shell Shellcode (104 bytes)
weixin_36217616的博客
05-13 176
/**Copyright © 2017 Odzhan. All Rights Reserved.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditions aremet:1. Redistrib...
6-18漏洞利用-后门连接
山兔的博客
07-25 882
我们一定要检测,当前系统,开放了那些端口,在某些情况下,尽量没有使用的端口,尽量关闭,我们只开启,我们服务器运行状态下,必须要开启的端口号,不相关的端口号,直接关闭,当然,我们也要实时监测系统服务器的网络状态,在出现连接过程中,我们一定要注意很有可能,这就是一次连接后门程序的一个活动,我们要对它进行实时监控。我们根据bindshell,猜测到,会是一个后门程序,这个时候,我们就需要验证这个猜测,我们用nc连接目标地址的端口号,来对其后门进行连接,从而获取对应的权限。我们服务器为什么存在后门程序。...
Metasploit 快速入门(三)—— 服务端漏洞利用
gclome的博客
07-22 2622
今天的这篇文章是对Metasploit 快速入门(三)—— 服务端漏洞利用这篇文章的复现。有些地方由于环境配不好,就直接把原文的图copy过来了! 温馨提示:靶机用自己的虚拟机就好,如果不想搞坏你的虚拟机,记得加快照、加快照、快照 原创:合天网安实验室合天智汇 在前面,我们学习了 Metasploit快速入门(一) Metasploit快速入门(二) Metasploit 快速入门(二)——信息收集和扫描-续 在本章中,我们将学习以下内容 1、攻击Linux服务器 2、SQL注入攻击 3、shell类型
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
Nginx越界读取缓存漏洞 CVE-2017-7529
最新发布
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
2017 年,Node.js 发布了 8.5.0 版本,但随后被发现存在一个严重漏洞,即 CVE-2017-14849。这个漏洞允许远程攻击者通过目录穿越技术访问系统中的任意文件。问题的根源在于 Node.js 对“..”(上级目录)处理方式...
Linux版SMB远程代码执行漏洞(CVE-2017-7494)-SambaCry 分析报告
counsellor的专栏
05-31 7588
背景2017年5月24日Samba官方发布了安全公告,在Samba 3.5.0 以后的版本中存在严重的代码执行漏洞(CVE-2017-7494)。在rpc_server/srv_pipe.c中的存在一个验证BUG,攻击者可以利用客户端上传恶意动态库文件到具有可写权限的共享目录中,之后发出请求,使服务器加载Samba运行目录以外的非法模块,导致恶意代码执行。漏洞公告=========== Descr
Samba远程Shell命令注入执行漏洞CVE-2007-2447)
p_utao的博客
09-02 3093
产生原因 传递通过MS-RPC提供的未过滤的用户输入在调用定义的外部脚本时调用/bin/sh,在smb.conf中,导致允许远程命令执行 实验环境 这里使用的目标机是metasploitable2 linux攻击机:192.168.43.113 linux目标机:192.168.43.23 利用攻击 首先对目标机进行扫描,收集可用的服务信息,使用nmap扫描查看系统开放端口和相关的应用程序 msf5 > nmap -sV 192.168.43.23 [*] exec: nmap -sV 192.16
linux smb 漏洞_Samba远程代码执行漏洞(CVE-2017-7494)
weixin_35241774的博客
12-23 1037
我自横刀向天笑 去留肝胆两昆仑原本想复现一下CVE-2017-7494漏洞再分享出来的,没曾想过程一波三折,结果还铩羽而归。诶,还是在此记录一下失败的复现过程吧,为了纪念一下折腾不止的岁月,还有原谅我没有最终复现成功-!-。关于此漏洞的介绍不用多说,可以移步Samba远程代码执行漏洞|Freebuf。Samba远程代码执行漏洞被业内称为linux版的永恒之蓝,危害可想而知。当然相比windows来...
漏洞利用一:MSF 漏洞验证专题
ZY95001的博客
09-04 3375
一、MSF介绍 Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称MSF。是一个免费、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的专业级漏洞攻击工具。安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境。 兼有windows与linux两种版本。 二、相关专业术语 1.渗透攻击(Exploit):...
MAC系统下解决Teamviewer 5 分钟限制
huyuan7494的博客
08-21 2万+
最近Teamviewer被检测到商用,连接时提示5分钟限制,实际使用只有1分钟就会断开,以前曾经找过破解版,未果,现在找到一种通过修改ID解除5分钟限制的方法,https://www.jianshu.com/p/6ab182b478d4 py脚本下载下来之后,运行的时候弹出如下错误: Traceback (most recent call last): File "TeamViewer...
linux smb 漏洞_Samba远程漏洞(CVE-2017-7494)利用分析
weixin_42545066的博客
12-23 1368
前言Samba远程漏洞(CVE-2017-7494) 被称为Linux 版的永恒之蓝,由于其影响范围广以及攻击成功后获得的权限高(一般默认smb服务以root权限运行)受到了广泛的关注,趁空余时间写一下这个漏洞的复现以及利用分析漏洞成因Linux Samba 协议实现代码中,处于source3/rpc_server/srv_pipe.c中的is_known_pipename()函数对路径过滤不严格...
MAC自带词典添加词典文件
热门推荐
huyuan7494的博客
12-21 4万+
来源: https://www.zhihu.com/question/20428599/answer/223511099   下载别人转换好的词典文件,后缀名为:.dictionary 将dictionary文件复制至当前用户文件夹(Finer中左侧栏点击你的用户名)下的/Library/Dictionaries中,之后在词典->偏好设置中启用一下就行。用户的Library(资源库)...
bind8.2-8.2.2漏洞利用HOWTO(端口53的利用)
Gerry的专栏
08-31 4897
 1. 怎样查询一个DNS?                  首先,你或许知道如果你配置好TCP/IP后希望能通过你的浏览器直接键入主机名         就能找到一个网站,而不必每次都键入复杂难记的IP地址的话,你还需要配置         DNS服务器,你可以从你的ISP那里得到DNS服务器的地址。UNIX系统提供了一个         叫nslookup的实用工具来对DNS进行查询,它的语
Linux云服务器安装Anaconda
kate_mj的博客
02-18 1122
Linux云服务器安装Anaconda 说明:本人使用的是阿里云的云服务器ecs,安装Ubuntu 16.04 64位系统。 文章目录Linux云服务器安装Anaconda1、下载Anaconda2、安装Anaconda 1、下载Anaconda 打开服务器终端。 进入Anaconda官网:https://www.anaconda.com/ 查找Anaconda3在Linux系统下安装的包链接...
CVE-2017-3506 漏洞POC复现详细解析
CVE-2017-3506涉及的是一个远程代码执行漏洞,该漏洞存在于某些版本的Oracle Outside In Technology软件中。Outside In Technology是Oracle公司提供的一套用于集成多种文件格式的工具库。由于这一漏洞,攻击者可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值