近日,腾讯智能安全御剑威胁情报中心监测发现,不法黑客疑似利用Weblogic反序列化漏洞入侵企业服务器并下载Real 挖矿木马。
exe进行挖矿,造成机器资源严重消耗,直接影响日常工作运营。
此外,无良黑客一旦获得服务器的控制权,还可以窃取服务器数据、以服务器为跳板入侵内网、利用服务器攻击其他计算机,或者在服务器上下载并运行勒索软件,彻底破坏服务器数据和其他恶意攻击。
,带来极大的网络安全隐患。
据悉,WebLogic是美国Oracle公司出品的基于JAVAEE架构的中间件。
它主要用于开发、集成、部署和管理大规模分布式Web应用、网络应用和数据库应用的Java应用服务器。
通过将Java的动态功能与Java企业标准的安全性引入到大型网络应用的开发、集成、部署和管理中,深受网站开发者的欢迎。
值得一提的是,Weblogic存在多个高危漏洞。
最近公布的Weblogic反序列化远程命令执行漏洞(CVE-)和Weblogic任意文件上传漏洞(CVE-)。
其中,CVE-是对之前CVE-的绕过。
历史上,Weblogic的漏洞修复基本上都是基于黑名单修复。
一旦发现新的攻击利用链,就可以绕过此修复方法。
(图:real.exe木马的运行原理)据腾讯安全技术专家介绍,无良黑客成功入侵Weblogic反序列化漏洞后,会执行远程脚本。
该脚本会进一步拉取DownLoader木马real.exe执行。
Real.exe作为隐蔽性极高的DownLoader木马,采用python编写,并使用打包工具对生成的exe进行打包,隐蔽性极高。
同时,木马运行Main.exe、Sun.exe、She.exe等工具来维护启动项,检测矿机进程是否存在。
如果不运行,则会再次拉取矿机相关程序,确保矿机正在挖矿。
矿山效率。
目前,不法黑客已经利用Weblogic反序列化漏洞攻击了近万台服务器。
到目前为止,大约三分之一的采用Weblogic架构的Web应用服务器未能及时修补漏洞。
据腾讯御剑威胁情报中心监测,该木马自7月份以来整体呈上升趋势,北京、上海、广州位居受影响地区前三位,其他地区也有不同程度分布。
(图:传播趋势及地域分布) 从非法黑客入侵Weblogic高危漏洞事件来看,木马病毒的作案手法千变万化,让用户越来越难以察觉。
同时,结合近期频发的网络安全事件,不法黑客正在寻找更为隐蔽、高效的通信方式来实现其非法获利的企图。
对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大服务器管理员,可以通过T3协议访问控制设置访问白名单;同时,Oracle官方已经在7月的关键补丁更新中修复了该问题。
发现该漏洞后,建议受影响用户尽快升级更新以进行防护。
(图:腾讯企业级安全产品御点)此外,马劲松还建议企业应设立相关安全监管部门,制定相关对策,优先使用终端杀毒软件,增强诚信度和三防能力。
- 防御方案的维度,受到攻击时避免攻击。
问题可以得到更有效的解决,业务损失可以最小化。