2013年9月2日 星期一

《APT 目標攻擊》中國地下市場出現了攻擊Apache Struts漏洞的工具,可讓攻擊者在目標伺服器上執行任意指令

《APT 目標攻擊》中國地下市場出現了攻擊Apache Struts漏洞的工具,可讓攻擊者在目標伺服器上執行任意指令

大約在一個月前,Apache軟體基金會發佈了Struts 2.3.15.1,這是受歡迎的Java Web應用程式開發框架的更新版本。此修補程式的推出是因為舊版本Struts內的漏洞可以讓攻擊者在有漏洞的伺服器上執行任意程式碼。

趨勢科技已經發現中國的地下駭客開發了自動化工具去攻擊這些舊版本Struts的漏洞。我們首先在七月十九日確認了這些工具的存在,這是漏洞被披露的僅僅三天之後。


圖一、駭客工具的廣告

像這樣的駭客工具可以在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊裡提供多種用途,例如:

◎獲取目標的相關資訊
◎取得和維護通往目標系統和網路的存取控制
◎竊取資料
◎清除攻擊證據

趨勢科技已經觀察到這特定駭客工具被用在對亞洲目標的攻擊上,表示這些Struts漏洞已經在被真實世界裡被用在攻擊上。

駭客工具本身

這個駭客工具針對了幾個Struts不同的漏洞。可以用Apache發行公告編號和CVE編號來確認:

◎S2-016(CVE-2013-2251)
◎S2-013(CVE-2013-1966)
◎S2-009(CVE-2011-3923)
◎S2-005(CVE-2010-1870)

如果這些漏洞遭受到攻擊,就可以讓攻擊者在目標伺服器上執行任意指令。為了證明這工具的能力,我們在測試環境內對一個有漏洞的Struts進行測試。


圖二、駭客工具的使用介面

在目標伺服器執行此工具時會自動進行某些指令。其中一個預先設定的指令是whoami,可以顯示出目標伺服器目前帳號的資訊。


圖三、產生的網路流量內容

底下是可執行指令的完整列表:


表一、內建指令

建立一個後門

攻擊者對於有漏洞伺服器的目標之一是建立起後門。這些後門讓攻擊者可以取得和保持對伺服器的存取控制,可以在需要時加以利用。而這工具可以讓攻擊者輕鬆地做到這一點。

駭客工具包含了一個「WebShell」功能,讓攻擊者可以很容易就在目標系統內植入後門程式和Web Shell。這些Web Shell讓下指令到後門更加容易,因為可以直接用瀏覽器介面做到。

有各種Web Shell提供給使用不同框架的伺服器(例如PHP和ASP.NET),不過在這起案例中,因為Struts本身是支援Java的應用程式框架,攻擊者可以安裝JspWebShell,這是一個用JavaServer Pages(JSP)編寫兼具web shell和後門功能的程式。


圖四、提供WebShell功能的駭客工具

底下截圖顯示JspWebShell存取伺服器的檔案系統


圖五、JspWebShell的使用介面

在地下市場裡可以很容易就找到具有更強功能的Web Shell,像是從放置後門的伺服器上搜尋和偷竊資料。

總結

綜合上面所述,我們對於這駭客工具知道些什麼?

◎它在漏洞披露後三天就推出了。
◎它可以輕易地在目標伺服器上執行作業系統指令。
◎只要點幾下滑鼠就可能在目標伺服器上建立一個後門/Web Shell,以取得和維持存取能力。
◎Web Shell在不斷發展中,會繼續加入些必要功能。

正如我們前面所提到,這個漏洞已經被修補,並且發布了新版本的Struts(2.13.15.1)。有些應用程式可能會無法使用,因為去除掉一些現今版本上有漏洞的功能。儘管如此,Apache已經「強力建議」佈署這更新。一個可能會被攻擊成功的風險要大於修改已部署應用程式帶來的不便。

我們提供了多種解決方案來對抗這威脅。趨勢科技Deep Security的使用者有多個規則可以封鎖攻擊Struts的漏洞程式碼,並且過濾相關的惡意封包。此外,我們會將植入受影響網站的後門程式偵測為HKTL_ACTREDIR JS_SPRAT.SM。

駭客工具樣本的雜湊值如下:
MD5:4674D39C5DD6D96DFB9FF1CF1388CE69
SHA1:9C6D1700CF4A503993F2292CB5A254E4494F5240

原文出處:Chinese Underground Creates Tool Exploiting Apache Struts Vulnerability
作者:Noriaki Hayashi(資深威脅研究員)

轉載自《雲端運算與網路安全趨勢部落格》