“紫狐”病毒新变种利用弱口令及应用服务器漏洞等进行攻击传播

2020年2月26日,我国安全厂商腾讯公司发布报告,称其检测到“紫狐”病毒的最新变种,该变种可通过SMB和MSSQL弱口令爆破以及利用Weblogic和ThinkPHP等服务器组件的远程代码执行漏洞进行攻击传播,使其传播能力再次增强,最终通过控制受害主机实施恶意刷量、推广安装用户不需要的软件等进行非法获利。 报告称,紫狐病毒家族自2018年出现一直活跃至今,起初通过木马下载器进行传播,随后又通过刷量软件进行传播。病毒新变种可通过PendingFileRenameOperations机制替换系统文件实现开机启动,释放安装驱动程序对木马进行保护,已具有较强的持久化攻击能力。 此外,报告指出,紫狐病毒新变种还会利用服务器组件的远程代码执行漏洞进行攻击传播:一是Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814,CVE-2019-2725),由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,利用该漏洞获取服务器权限,实现远程代码执行。漏洞受影响程序版本为OracleWebLogic Server 10.*、Oracle WebLogic Server 12.1.3。二是ThinkPHP远程命令执行的高危漏洞(CNVD-2018-24942),该漏洞主要因为php代码中route/dispatch模块没有对URL中的恶意命令进行过滤导致,在没有开启强制路由的情况下,能够造成远程命令执行,包括执行shell命令、调用php函数、写入webshell等。主要影响的版本包括ThinkPHP 5.0—5.1版本。