一、概述
-
部署腾讯云防火墙实时拦截威胁;
-
关闭YAPI用户注册功能,以阻断攻击者注册;
-
删除恶意已注册用户,避免攻击者再次添加mock脚本;
-
删除恶意mock脚本,防止再被访问触发;
-
服务器回滚快照,可清除利用漏洞植入的后门。
二、腾讯安全解决方案
三、YAPI接口管理平台0day漏洞分析
-
部署腾讯云防火墙实时拦截威胁;
-
关闭YAPI用户注册功能,以阻断攻击者注册;
-
删除恶意已注册用户,避免攻击者再次添加mock脚本;
-
删除恶意mock脚本,防止再被访问触发;
-
服务器回滚快照,可清除利用漏洞植入的后门。
-
四、详细分析
攻击脚本
木马文件
木马文件详细信息:
|
文件名称 |
文件MD5 |
文件家族 |
是否新变种 |
|
hxxp://2w.kacdn.cn/20000 |
c303c2fff08565b7977afccb762e2072 |
BillGates |
否 |
|
hxxp://117.24.13.169:881/KaBot |
56b157ffd5a4b8b26d472395c8d2f7dc |
BillGates |
否 |
|
hxxp://117.24.13.169:118/2771 |
56b157ffd5a4b8b26d472395c8d2f7dc |
BillGates |
否 |
|
hxxp://117.24.13.169:664/botmm/x86_64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
|
hxxp://66.42.103.186/hang/x86_64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
|
hxxp://27.50.49.61:1231/X64 |
3b904f9bc4f8f504598127ed702c3e1e |
Mirai |
否 |
本次攻击投递的木马文件未发现新变种,但漏洞利用速度极快7.2号出现攻击事件之后,短短一周已有上千台主机失陷,目前官方尚无补丁可用,受影响的客户需要在主机侧关闭用户注册与脚本添加权限,已失陷主机需尽快回滚服务器快照。
威胁视角看攻击行为:
|
ATT&CK阶段 |
行为 |
|
侦察 |
扫描IP端口,确认可攻击目标存开放YAPI注册服务。 |
|
资源开发 |
在YAPI平台注册开发者账号。 |
|
初始访问 |
利用对外开放的mock脚本添加服务,植入恶意命令 |
|
执行 |
触发接口调用,执行恶意命令 |
|
影响 |
驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 |
IOCs
MD5
c303c2fff08565b7977afccb762e2072
56b157ffd5a4b8b26d472395c8d2f7dc
3b904f9bc4f8f504598127ed702c3e1e
URL:
hxxp://2w.kacdn.cn/20000
hxxp://117.24.13.169:881/KaBot
hxxp://117.24.13.169:118/2771
hxxp://117.24.13.169:664/botmm/x86_64
hxxp://66.42.103.186/hang/x86_64
hxxp://27.50.49.61:1231/X64
Tip:如何将我们设为星标
扫码关注 了解更多资讯
点击“阅读原文”,了解更多精彩回答
本文始发于微信公众号(腾讯安全联合实验室):通报:腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散,可使用防火墙阻截
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论