64期报告汇总
安天发布《Rex木马样本变种分析报告》
     
      近日,安天追影小组在整理网络安全事件时,针对Linux平台下名为Rex的木马进行了简要分析。最初人们认为Rex木马是一个勒索软件,利用易受攻击的Drupal网站加密他们的文件,并索要赎金。而后续的分析表明,Rex木马在对设备进行初始感染之后还具有其他恶意行为,例如启动DDoS攻击、锁定网站、挖掘加密货币等。经分析,Rex木马样本更多地作为渗透工具,而不是DDoS攻击。攻击者会利用Drupal,WordPress和Magento网站中的漏洞,来感染Linux设备,以及Exagrid,Apache Jetspeed和AirOS家庭路由器等应用程序。当被攻击目标受到感染后,攻击者会向网站管理员发送电子邮件,进行索要比特币,以此来威胁发动DDoS攻击。

      针对Drupal,Rex木马会利用CVE-2014-3704漏洞进行感染。此漏洞是一个SQL注入漏洞,允许木马病毒创建一个管理帐户,因此攻击者通过它可以控制CMS。针对WordPress,Rex木马样本既不锁定网站也不显示赎金提示,而是运行其他的恶意功能,试图利用WordPress 网站中如WooCommerce,Robo Gallery,Rev Slider,WP-squirrel,Site Import,Brandfolder,Issuu Panel和Gwolle Guestbook等插件中的一些安全漏洞。针对Magento,Rex木马样本会通过Shoplift RCE漏洞(CVE-2015-1397,CVE-2015-1398和CVE-2015-1399)进行定位创建一个管理员帐户并控制底层Web服务器。

      Rex木马还在继续演变,其样本的作者采用了最近泄露的Mirai源代码,并将其一些组件添加到Rex木马中。最初,他们移植了用于扫描易受攻击设备的Mirai组件并威胁设备的Telnet端口。不过这个实验没有成功,研究人员跟踪了Rex样本的演变,发现包括Mirai Telnet扫描仪的Rex样本变体感染力并不强,只能感染大约10个设备。由于Rex移植Mirai功能失败,所以Rex的作者只能从更成熟的loT/Linux恶意软件去移植。目前,Rex P2P 僵尸网络大约可以控制150台机器,用于对企业进行DDoS攻击。

      通过对Rex木马样本的分析了解,可以看出恶意代码感染手段的多样性,恶意目的各不相同,为了避免企业与个人的损失。安天提醒用户要提高网络安全意识,日常工作使用电脑要养成良 好习惯,经常杀毒,不随意查看异常邮件,发现网络异常要提高警惕并及时采取应对措施。目前,安天追影产品已经实现了对Rex恶意样本的检出。