WebLogic漏洞(CVE-2017-10271)最新攻击预警和实际案例分析

比特币火热，黑客继续来挖矿。近日，瀚思科技从多个行业客户的安全告警事件中，发现黑客正通过WebLogic WLS 组件漏洞(CVE-2017-10271)进行大规模攻击。

事件描述

近日，瀚思科技从多个行业客户的安全告警事件中，发现黑客正通过WebLogic 组件漏洞进行大规模攻击，攻击者利用WebLogic WLS 组件漏洞(CVE-2017-10271) 对WebLogic 中间件主机进行攻击，下载并执行挖矿程序。

攻击过程

整个攻击过程如下：

1) 攻击者收集使用WebLogic中间件搭建的服务器

2) 通过WebLogic WLS 组件漏洞(CVE-2017-10271)攻击服务器

3) 漏洞攻击成功后运行挖矿程序

瀚思科技解决方案

瀚思科技最早在12月11日截获此次攻击，HanSight Enterprise（瀚思大数据安全分析企业版）中内置的默认关联规则检测到该攻击。

在HanSight Enterprise中内置了关联规则“服务器遭受web攻击后外连攻击者”，主要检测攻击者在成功攻击服务器后种植木马，并且主动外连攻击者的场景。这条关联规则可以检测到对于某些未知漏洞的成功攻击。

在2017/12/11日，客户环境中部署的某安全设备检测到从72.11.140.178发起的web访问中存在“windows系统执行命令”。

然后在3个小时后，防火墙记录从该服务器向72.11.140.178的端口80发起的主动连接，此时HanSightEnterprise关联这两个事件，触发告警“服务器遭受web攻击后外连攻击者”。

攻击Payload（挖矿程序）

此次攻击的Payload为挖矿程序，可以通过主机进程名进行检测，也可对C&C地址及矿池域名进行监控来发现被感染主机。

例如，对于Linux主机，查看是否有watch-smartd、carbon进程，查看/tmp目录下是否存在文件watch-smartd、carbon。如果有，说明已经感染挖矿病毒。

病毒相关SHA256：

bbc6f1e5f02b55fab111202b7ea2b3ef7b53209f6ce53f27d7f16c08f52ef9ac

病毒相关IOC：

72.11.140.178

72.11.140.179

72.11.140.180

72.11.140.181

72.11.140.182

minexmr.com

防护策略建议

1. 升级WebLogic 10月补丁。

http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html

2. 防火墙过滤IOC。

3. 部署HanSight Enterprise，接入网络设备日志，及时处理告警。