YAPI远程代码执行0day漏洞利用新增Mirai变种家族，防火墙可完美拦截

长按二维码关注

腾讯安全威胁情报中心

一、概述

腾讯主机安全（云镜）捕获YAPI远程代码执行0day漏洞在野利用，该攻击正在扩散。受YAPI远程代码执行0day漏洞影响，从7月第1周开始，未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰，一次在7月3号，一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击，7月4日Mirai僵尸网络木马攻击的规模更大。已部署腾讯云防火墙的云主机成功防御此轮攻击。

 

BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分活跃的僵尸网络家族，这两个僵尸网络家族多采用高危漏洞工具作为入侵手段，腾讯安全研究人员发现这两个团伙正在利用YAPI接口管理平台远程代码执行漏洞发起攻击，目前该漏洞暂无补丁，处于0day状态。

【最新更新】

据腾讯安全威胁情报中心7月8日晚间追踪到的最新数据，利用YAPI接口管理平台远程代码执行漏洞攻击的黑产团伙新增Mirai变种家族，该家族以往主要入侵智能硬件设备（路由器、网络摄像头等），其行为主要是组建僵尸网络发起DDoS攻击。

利用YAPI接口管理平台远程代码执行漏洞攻击传播的恶意木马家族IOCs文末已更新。

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

腾讯安全网络空间测绘数据显示，国内采用YAPI接口管理平台的服务器上万台，主要分布于浙江、北京、上海、广东等省市（占比超过80%）。

因YAPI远程代码执行0day漏洞暂无补丁，BillGates僵尸网络与Mirai僵尸网络木马家族主要利用受控主机进行DDoS攻击、留置后门或进行挖矿作业。腾讯安全专家建议采用YAPI接口管理平台的政企机构尽快采取以下措施缓解漏洞风险：

1.部署腾讯云防火墙实时拦截威胁；

2.关闭YAPI用户注册功能，以阻断攻击者注册；
3.删除恶意已注册用户，避免攻击者再次添加mock脚本；
4.删除恶意mock脚本，防止再被访问触发；
5.服务器回滚快照，可清除利用漏洞植入的后门。

腾讯安全威胁情报系统已支持自动化输出告警事件详细分析报告，方便安全运维人员获得更丰富的情报信息，以便对告警事件进行回溯处置。

腾讯安全旗下全系列产品已全面支持对YAPI接口管理平台远程代码执行漏洞的利用进行检测防御：

二、腾讯安全解决方案

BillGates家族与Mirai家族相关威胁数据已加入腾讯安全威胁情报，赋能给腾讯全系列安全产品，企业客户通过订阅腾讯安全威胁情报产品，可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

腾讯安全威胁情报中心检测到利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动已影响数千台未部署任何安全防护产品的云主机，腾讯安全专家建议政企机构公有云系统部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。

腾讯云防火墙支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。

 

已部署腾讯主机安全（云镜）的企业客户可以通过高危命令监控发现，腾讯主机安全（云镜）可对攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

企业客户可通过旁路部署腾讯天幕（NIPS）实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接，彻底封堵攻击流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

三、YAPI接口管理平台0day漏洞分析

YAPI接口管理平台是某互联网企业大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务。该平台被国内众多知名互联网企业所采用。

其中mock数据通过设定固定数据返回固定内容，对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容，本次漏洞就是发生在mock脚本服务上。

由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，因此可以在脚本中植入命令，等用户访问接口发起请求时触发命令执行。

该漏洞暂无补丁，建议受影响的企业参考以下方案缓解风险：

1.部署腾讯云防火墙实时拦截威胁；

2.关闭YAPI用户注册功能，阻断攻击者注册；
3.删除恶意已注册用户，避免攻击者再次添加mock脚本；
4.删除恶意mock脚本，防止再被访问触发；
5.服务器回滚快照。

四、详细分析

攻击脚本

攻击者首先注册功能先注册账号，登录账号后才能自定义mock脚本。

攻击者通过mock脚本中植入恶意命令，待用户访问mock接口发起请求时触发命令执行。

木马文件

7.1号以来主机侧利用该漏洞捕获到的木马文件（截图仅显示部分木马文件）：

木马文件详细信息(截止7月8日21点)：

本次攻击投递的木马文件已发现Mirai变种，但漏洞利用速度极快7.2号出现攻击事件之后，短短一周已有上千台主机失陷，目前官方尚无补丁可用，受影响的客户需要在主机侧关闭用户注册与脚本添加权限，已失陷主机需尽快回滚服务器快照。

BillGates、Mirai、Mirai变种僵尸网络木马和以往版本的行为并无差异，这些木马家族主要行为是控制肉鸡系统组建僵尸网络，接受控制端指令发起DDoS攻击，具体行为不再赘述。

威胁视角看攻击行为

ATT&CK阶段	行为
侦察	扫描IP端口，确认可攻击目标存开放YAPI注册服务。
资源开发	在YAPI平台注册开发者账号。
初始访问	利用对外开放的mock脚本添加服务，植入恶意命令
执行	触发接口调用，执行恶意命令
影响	驻留的僵尸木马具备下载执行，命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。

IOCs

MD5

0b39ec00802b1355bad8c5d82b5c01bb

0ceeedf40a11e6dea2efee8a33b92b81

12879ee31d658274341f14c4690ea279

1d1eac14b5defcabcce8b6d1693a9972

247201036cf30db2d87caccde6a9791a

351f0be8265c84bb834d693bdbc5d93a

3b904f9bc4f8f504598127ed702c3e1e

56b157ffd5a4b8b26d472395c8d2f7dc

5835275b86370afaca052bb5981ed25c

81a7ff08950a20f22014d04040269ba3

86a5323d164e971659fffdff19fef7e2

8f0ba5defb37479477f34da985ea36dd

920828d3d2ca680b5614d7bc7dc893c6

a26b62b61e8728d7626651dc5d35f60a

b3e09046c5581f80448c65461544a028

b91a9bf8bb9e3f21097f646d578b3ed1

bd5bb4c0ff633102fc15569528080666

c303c2fff08565b7977afccb762e2072

d375de4885f89511980b5821f1194412

de0ae2b4f570fd7ce3b5af98bce31d65

df31cb7580f76b0619b46c216bbacf37

e9ddf9de17b5dba33c361ff77d1b454c

f5e0d8f4feaf3987f455677095a075bf

face47744bdd948132c10ce3c4af33d7

URL

hxxp://107.189.7.37:802/linuxdoor

hxxp://107.189.7.37:802/Manager

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://117.24.13.169:881/256

hxxp://117.24.13.169:881/BOT

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:991/25000

hxxp://152.89.239.4/x86_64

hxxp://185.245.96.211/bins/arm4

hxxp://185.245.96.211/bins/arm5

hxxp://185.245.96.211/bins/arm6

hxxp://185.245.96.211/bins/arm7

hxxp://185.245.96.211/bins/m68k

hxxp://185.245.96.211/bins/mips

hxxp://185.245.96.211/bins/mpsl

hxxp://185.245.96.211/bins/ppc

hxxp://185.245.96.211/sora.sh

hxxp://216.83.33.79:8080/syn

hxxp://222.186.52.198:8082/ld

hxxp://222.186.52.198:8082/Manager

hxxp://222.186.52.198:8082/xls

hxxp://27.50.49.61:1231/X64

hxxp://27.50.49.61:2131/chongfu.sh

hxxp://27.50.49.61:2131/SH

hxxp://27.50.49.62:1231/Linux64mm

hxxp://27.50.49.62:1231/mis

hxxp://27.50.49.62:81/26000

hxxp://2w.kacdn.cn/20000

hxxp://37.49.230.51/bot.x86

hxxp://37.49.230.51/bot.x86_64

hxxp://3w.kacdn.cn/30000

hxxp://45.10.24.31/x86_64

hxxp://45.116.79.57:8080/selver

hxxp://66.42.103.186/hang/x86_64

hxxp://82.118.235.109/WSW0

hxxp://89.40.73.49:2653/9.exe

hxxp://89.40.73.49:2653/index

hxxp://89.40.73.49:2653/indexa

hxxp://89.40.73.49:2653/VAPE.exe

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：YAPI远程代码执行0day漏洞利用新增Mirai变种家族，防火墙可完美拦截