Weblogic高危漏洞致不法黑客入侵 服務器再變門羅幣礦機

近日，騰訊智慧安全御見威脅情報中心監(jiān)控發(fā)現，不法黑客疑似利用Weblogic反序列化漏洞入侵企業(yè)服務器，下載挖礦木馬Real.exe進行挖礦，致使機器資源消耗嚴重，直接影響日常工作運轉。此外，不法黑客一旦取得服務器控制權之后，其還可以竊取服務器數據、利用服務器做跳板入侵內網、利用服務器攻擊其他電腦、或者在服務器下載運行勒索病毒，徹底毀滅服務器數據等一系列惡意攻擊行為，帶來極大的網絡安全風險。

據悉，WebLogic是美國Oracle公司出品的基于JAVAEE架構的中間件，主要用于開發(fā)、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器，通過將Java的動態(tài)功能和Java Enterprise標準的安全性引入大型網絡應用的開發(fā)、集成、部署和管理之中，深受網站開發(fā)人員歡迎。

值得一提的是，Weblogic存在多個高危漏洞。近期公布的Weblogic反序列化遠程命令執(zhí)行漏洞(CVE-2018-2893)和Weblogic任意文件上傳漏洞(CVE-2018-2894)。其中CVE-2018-2893為之前CVE-2018-2628的繞過，從歷史上來看，Weblogic的漏洞修復基本是基于黑名單的修復，這種修復方式一旦被發(fā)現存在新的攻擊利用鏈即可繞過。

(圖：real.exe木馬運行原理)

據騰訊安全技術專家介紹，不法黑客利用Weblogic反序列化漏洞入侵成功后會執(zhí)行遠程腳本，該腳本會進一步拉取DownLoader木馬real.exe執(zhí)行。作為一款隱蔽性極強的DownLoader木馬，Real.exe通過python編寫后使用打包工具打包生成的exe，隱蔽性極強。同時該木馬運行Main.exe、Sun.exe 、She.exe等工具，來維護啟動項，并檢測礦機進程是否存在，如果沒有運行則再次拉取礦機相關程序執(zhí)行，以此保證礦機挖礦效率。

目前，不法黑客利用Weblogic反序列化漏洞攻擊了近萬臺服務器，至今仍有約三分之一采用Weblogic架構的Web應用服務器未能及時修補漏洞。據騰訊御見威脅情報中心的監(jiān)控顯示，該木馬自7月以來整體呈現上升趨勢，其中北上廣三個地區(qū)受災程度位居前三，其它地區(qū)也有不同程度分布。

(圖：傳播趨勢及地域分布)

通過Weblogic高危漏洞遭不法黑客入侵事件來看，木馬病毒不斷變換的作案手法令用戶越來越難以察覺。同時結合近期頻發(fā)的網絡安全事件來看，不法黑客正在尋找更為隱蔽且高效的傳播方式，以實現自己的非法獲利企圖。

對此，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大服務器管理員，可通過T3協議訪問控制，設置訪問白名單;同時Oracle官方已經在7月的關鍵補丁更新中修復了此漏洞，受影響的用戶建議盡快升級更新進行防護。

(圖：騰訊企業(yè)級安全產品御點)

另外，馬勁松還建議企業(yè)應設立相關的安全監(jiān)管部門，制定相關對應措施，優(yōu)先使用終端殺毒軟件，增強防御方案的完整性和立體性，在遭受攻擊時能更高效地解決問題，把企業(yè)損失降到最低。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。