怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播

這篇文章將為大家詳細講解有關(guān)怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

概述

近日，奇安信病毒響應(yīng)中心在日常樣本監(jiān)控過程中發(fā)現(xiàn)NextCry Ransomware的新進入渠道，其正在利用PHP-fpm遠程代碼執(zhí)行漏洞（CVE-2019-11043）針對Linux服務(wù)器發(fā)起攻擊嘗試入侵。

NextCry勒索是一種新型勒索軟件，該勒索由Python編寫并使用PyInstall打包成Linux ELF二進制文件，采用RSA-2048和AES-256-CBC算法加密指定目錄下的文件，無法解密，從勒索名可以看出，作者試圖致敬2017年的WannaCry勒索蠕蟲。

基于奇安信威脅情報中心的多維度大數(shù)據(jù)關(guān)聯(lián)分析，目前該勒索主要攻擊安裝有Nextcloud軟件的服務(wù)器，不排除后面會擴大攻擊范圍，為了避免恐慌情緒產(chǎn)生，我們披露此次攻擊事件的部分細節(jié)，并給出解決方案。

漏洞分析

Nextcloud是一款開源的用于創(chuàng)建網(wǎng)絡(luò)硬盤的客戶端-服務(wù)器軟件，常被用來搭建私有云盤，類似于我們熟知的Dropbox。

CVE-2019-11043是一個十月底剛被披露出來的PHP相關(guān)漏洞，相應(yīng)的技術(shù)細節(jié)已經(jīng)公開，利用此漏洞可以非常簡單穩(wěn)定在受影響的服務(wù)器上遠程執(zhí)行任意命令，在啟用PHP-Fpm的Nginx服務(wù)器上運行某些版本的PHP 7有可能受到攻擊。沒有運行Nginx服務(wù)器理論上則不會產(chǎn)生影響，但值得關(guān)注的是Nextcloud軟件默認情況下開啟Nginx服務(wù)器，所以幾乎所有的基于Nextcloud的云盤都會受到影響，這或許是攻擊者選擇Nextcloud的原因，Nextcloud官方在第一時間已經(jīng)發(fā)布公告。

漏洞出現(xiàn)在fpm_main.c中，當(dāng)path_info被%0a字符截斷時，值會被歸零：

由于path_info可控，通過將指針地址歸零，從而將_fcgi_data_seg結(jié)構(gòu)體中的pos指針歸零，控制FCGI_PUTENV函數(shù)的結(jié)果：

通過分析FCGI_PUTENV的內(nèi)部實現(xiàn)，我們發(fā)現(xiàn)只要構(gòu)造合理的數(shù)據(jù)包，就可以控制PHP任意全局變量：

一旦攻擊者控制了PHP全局變量，便可以在相應(yīng)目錄下包含NextCry勒索程序，進而執(zhí)行勒索。

樣本分析

通過對PyInstaller解出來的pyc進行反編譯后得到了勒索的源代碼，從mian函數(shù)中可以看出，一旦入侵成功之后，便會讀取nextcloud的配置文件來搜索Nextcloud文件共享并同步數(shù)據(jù)目錄。

之后開始使用AES加密文件，并使用內(nèi)置RSA公鑰加密AES密鑰：

將加密后的AES密鑰保存到keys.ENC文件中，最后生成勒索信index.php：

勒索信如下，要求支付0.025比特幣，目前無法在不支付贖金的情況下解密。

結(jié)論

奇安信威脅情報中心目前已經(jīng)檢測到有用戶中招，請網(wǎng)站管理員更新PHP軟件包并更新Nginx配置文件，將相關(guān)項改為：

IOC        
   

MD5：

8c6ed96e6df3d8a9cda39aae7e87330c

勒索比特幣錢包地址：

1K1wwHCUpmsKTuDh9TagfJ4h3bKMxLkjpY

聯(lián)系郵箱：

aksdkja0sdp@ctemplar.com

關(guān)于怎么看待NextCry勒索病毒利用PHP最新漏洞攻擊傳播就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。