IBM Security的托管安全服务（MSS）团队持续监控企业威胁状况，检测并映射新威胁。在最近的一次调查中，我们的MSS情报分析人员发现恶意行为者利用最新的Drupal漏洞来攻击各种网站以及托管它们的底层基础设施，利用Shellbot开启后门。

这是出于经济动机从而对网站进行大规模感染。面对这些不断演变的威胁，防御者如何保护网站和底层系统的安全？

一、Drupal简介

与WordPress一样，Drupal是一个内容管理系统（CMS），广泛用于为个人和企业，私人和公共等各种目的创建和维护网站和应用程序。Drupal是开源的，因此由用户社区维护。这也是其安全性和漏洞修补的维护方式。

在大量网站上使用的CMS对于网络犯罪分子而言是很好的目标，他们通常以一种通用的方式自动化攻击。网络犯罪分子会随机针对任何网站，因为他们想感染尽可能多的目标，并在以后才考虑金钱因素。

为此，恶意行为者经常选择一个漏洞，然后集中探测可利用的网站。那些因其他原因而未受到修补或易受攻击的人可能会受到攻击者的控制，这可能意味着该网站的完全沦陷。通过这种级别的控制，攻击者可以访问该站点，将其作为窃取数据、托管恶意内容或发起其他攻击的资源。

二、ShellBot作为后门与Drupalgeddon 2.0一齐使用

在最近调查针对全球企业的恶意活动时，我们的团队检测到一个重复发送相同HTTP POST请求的IP地址：

对这些请求的进一步调查发现了：来自众多命令和控制（C＆C）服务器的其他来源的相似流量，托管服务器下载Perl脚本以启动Shellbot恶意软件，以及有效负载命名模式，这就开始描绘出一个广泛的网络攻击。我们的团队将此行动的开始追溯到2018年8月中旬。

三、扫描和部署

攻击者利用称为CVE-2018-7600或Drupalgeddon 2.0的关键远程执行代码（RCE）漏洞扫描网站，最终使用Shellbot恶意软件打开后门。该扫描还包括另一个漏洞CVE-2018-7602，这是另一个非常关键的RCE漏洞。尽管这两个漏洞都已修补，但由于用户延迟修补和升级，漏洞仍然存在。

当我们继续调查时，攻击者在安装阶段扫描存在漏洞的网站以查找/user/register和/user/password页面，同时尝试使用wget下载Backdoor.Shellbot的Perl脚本。

成功后，该脚本运行了一个shell命令注入，用于安装基于Perl的bot。我们调查中的Shellbot实例连接到Internet中继聊天（IRC）通道，并将其用作C&C中心以接收来自控制器的指令。该bot包含多个工具来执行分布式拒绝服务（DDoS）攻击并搜索SQL注入漏洞和其他漏洞，包括特权提升以达到受害系统的root权限。

此行动中使用的漏洞以自动方式利用，允许攻击者以最小的努力扫描大量网站。此外，如果成功利用，该漏洞可能导致Web应用程序的潜在危害，并且还可能溢出到底层操作系统。

四、Shellbot重出江湖

Shellbot本身是一个旧代码，自2005年左右开始出现，用于恶意远程访问和控制受感染终端。Shellbot可以打开远程命令行shell、执行拒绝服务攻击、运行任务和进程、根据攻击者的命令下载其他文件以及更改终端的设置等等。

Shellbot似乎过时而且过于简单，但是它被几个威胁组织主动使用。2017年3月，在Apache Struts (CVE-2017-5638)的热潮中，ShellBot被打包为带有PowerBot恶意软件的C&C，后者在受感染的设备上部署了加密货币挖掘模块。这种组合使犯罪分子可以从其计划中获得超过10万美元的非法利润。

回顾我们最近几个月发现的大多数Shellbot恶意软件攻击，我们的团队确定了一些变体，其中包含以下指令：

· 在安装攻击者的新加密货币挖掘器之前，终止所有正在运行的加密货币挖掘活动;

· 网络钓鱼活动;

· 分发网络钓鱼垃圾邮件;

· 进行各种类型的DDoS攻击;

· 通过PHP模块将数据渗透到预定的电子邮件地址。

五、攻击者使用老漏洞

找到或购买零day漏洞需要花费大量的时间和金钱，这两个资源网络犯罪分子通常不愿意投资。以自动方式使用现有漏洞，如Drupalgeddon和攻击代码等更为有利可图，尤其是当用户延迟修补和更新其应用程序时。

以下是我们的安全专家提供的有关如何降低现有漏洞风险的提示以及使用它们破坏网络资源和资产的提示：

· 如果需要，使用HTTPS等升级协议或进行升级。

· 将CMS更新为最新版本并使用所有可用的修补程序。

· 对所有Web应用程序执行输入验证检查，以确保任何最终用户都无法执行shell命令。在客户端和服务器端进行验证，以确保脚本和恶意代码无法在底层服务器或数据库上运行。

· 攻击者将尝试暴力破解;确保密码强大，加密和加盐。使用双因素身份验证（2FA）来阻止自动攻击。

想知道更多？在X-Force Exchange.上查找IoC以及有关此攻击系列的更多技术细节。