Weblogic高危漏洞致不法黑客入侵 服務(wù)器再變門羅幣礦機(jī)

近日，騰訊智慧安全御見威脅情報中心監(jiān)控發(fā)現(xiàn)，不法黑客疑似利用Weblogic反序列化漏洞入侵企業(yè)服務(wù)器，下載挖礦木馬Real.exe進(jìn)行挖礦，致使機(jī)器資源消耗嚴(yán)重，直接影響日常工作運轉(zhuǎn)。此外，不法黑客一旦取得服務(wù)器控制權(quán)之后，其還可以竊取服務(wù)器數(shù)據(jù)、利用服務(wù)器做跳板入侵內(nèi)網(wǎng)、利用服務(wù)器攻擊其他電腦、或者在服務(wù)器下載運行勒索病毒，徹底毀滅服務(wù)器數(shù)據(jù)等一系列惡意攻擊行為，帶來極大的網(wǎng)絡(luò)安全風(fēng)險。

據(jù)悉，WebLogic是美國Oracle公司出品的基于JAVAEE架構(gòu)的中間件，主要用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器，通過將Java的動態(tài)功能和Java Enterprise標(biāo)準(zhǔn)的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中，深受網(wǎng)站開發(fā)人員歡迎。

值得一提的是，Weblogic存在多個高危漏洞。近期公布的Weblogic反序列化遠(yuǎn)程命令執(zhí)行漏洞(CVE-2018-2893)和Weblogic任意文件上傳漏洞(CVE-2018-2894)。其中CVE-2018-2893為之前CVE-2018-2628的繞過，從歷史上來看，Weblogic的漏洞修復(fù)基本是基于黑名單的修復(fù)，這種修復(fù)方式一旦被發(fā)現(xiàn)存在新的攻擊利用鏈即可繞過。

(圖：real.exe木馬運行原理)

據(jù)騰訊安全技術(shù)專家介紹，不法黑客利用Weblogic反序列化漏洞入侵成功后會執(zhí)行遠(yuǎn)程腳本，該腳本會進(jìn)一步拉取DownLoader木馬real.exe執(zhí)行。作為一款隱蔽性極強(qiáng)的DownLoader木馬，Real.exe通過python編寫后使用打包工具打包生成的exe，隱蔽性極強(qiáng)。同時該木馬運行Main.exe、Sun.exe 、She.exe等工具，來維護(hù)啟動項，并檢測礦機(jī)進(jìn)程是否存在，如果沒有運行則再次拉取礦機(jī)相關(guān)程序執(zhí)行，以此保證礦機(jī)挖礦效率。

目前，不法黑客利用Weblogic反序列化漏洞攻擊了近萬臺服務(wù)器，至今仍有約三分之一采用Weblogic架構(gòu)的Web應(yīng)用服務(wù)器未能及時修補(bǔ)漏洞。據(jù)騰訊御見威脅情報中心的監(jiān)控顯示，該木馬自7月以來整體呈現(xiàn)上升趨勢，其中北上廣三個地區(qū)受災(zāi)程度位居前三，其它地區(qū)也有不同程度分布。

(圖：傳播趨勢及地域分布)

通過Weblogic高危漏洞遭不法黑客入侵事件來看，木馬病毒不斷變換的作案手法令用戶越來越難以察覺。同時結(jié)合近期頻發(fā)的網(wǎng)絡(luò)安全事件來看，不法黑客正在尋找更為隱蔽且高效的傳播方式，以實現(xiàn)自己的非法獲利企圖。

對此，騰訊安全反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大服務(wù)器管理員，可通過T3協(xié)議訪問控制，設(shè)置訪問白名單;同時Oracle官方已經(jīng)在7月的關(guān)鍵補(bǔ)丁更新中修復(fù)了此漏洞，受影響的用戶建議盡快升級更新進(jìn)行防護(hù)。

(圖：騰訊企業(yè)級安全產(chǎn)品御點)

另外，馬勁松還建議企業(yè)應(yīng)設(shè)立相關(guān)的安全監(jiān)管部門，制定相關(guān)對應(yīng)措施，優(yōu)先使用終端殺毒軟件，增強(qiáng)防御方案的完整性和立體性，在遭受攻擊時能更高效地解決問題，把企業(yè)損失降到最低。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。