В результате эксплойта на машину может быть загружен Mirai-подобный бот, криптомайнер или Windows-зловред.
Исследователи из Akamai Networks фиксируют рост сканов, нацеленных на выявление незакрытой RCE-уязвимости в фреймворке ThinkPHP. Обнаружив пригодное для эксплойта устройство, злоумышленники пытаются внедрить на него Linux-бот или использовать для майнинга криптовалюты.
Уязвимость удаленного исполнения кода в ThinkPHP, которой был присвоен идентификатор CVE-2018-20062, разработчики устранили в начале декабря. Рабочие эксплойты для этой бреши уже выложены в открытый доступ, и злоумышленники взяли их на вооружение.
Наблюдаемая в Akamai скан-активность исходит в основном с IP-адресов, прописанных в Азиатско-Тихоокеанском регионе. Как удалось установить, проверки на уязвимость по большей части проводятся со скомпрометированных серверов, роутеров и IoT-устройств. В некоторых случаях инициатор соединения маскируется под поисковый робот Baidu (путем подмены строки User-Agent).
«Мы фиксируем порядка 600 сканов в сутки, — заявил журналистам Dark Reading эксперт Akamai Ларри Кэшдоллар (Larry Cashdollar). — Сканирование ведется во всех вертикалях — в сетях производителей ПО, поставщиков услуг по прокату автомобилей и т.д.».
Результаты эксплуатации CVE-2018-20062 могут быть различными, от открытия бэкдора до загрузки одной из многочисленных вариаций Mirai, криптомайнера или Windows-зловреда.
Так, анализируя одну из атак через ThinkPHP, Кэшдоллар обнаружил написанный на Си образец Mirai-подобного бота с именем dark.x86. Командный сервер зловреда был поднят в домене cnc[.]santaiot[.]net; для связи с ним зараженное устройство обращалось к DNS-серверу Google по IP-адресу 8.8.8.8.
На порту 23 была также замечена попытка соединения с молдавским IP 176.123.26.89 (mx5.adseto.com). В ходе тестирования dark.x86 также попытался начать поиск открытых портов Telnet, но на тестовой машине все внешние соединения были заблокированы. Из портов прослушивания, помимо TCP 17384 и UDP > 32000, эксперт отметил ssh, httpd и ftpd — по всей видимости, эти каналы используются для загрузки дополнительных файлов с C&C-сервера.
Подключение к C&C осуществляется через TCP-порт 39215; при открытии Telnet-сессии пользователь должен по подсказке (на китайском языке) ввести имя и уточнить, какие роутеры следует атаковать. Дальнейший анализ показал, что строки вредоносного кода зашифрованы путем выполнения операции XOR, а сам Linux-бот снабжен сканером и компонентом для эксплуатации уязвимостей.
Из Windows-зловредов, доставляемых через эксплойт CVE-2018-20062, Кэшдоллару попались два даунлоудера: HttpFileServer, загружающий майнер XMRig, и Download.exe, который награждает жертву многофункциональным зловредом, скрывающимся в файле mscteui.exe. Последний на поверку обладает следующими возможностями: