不日,海外平安网站SECURITYWEEK表露,一款Go谈话歹意软件正洪量习染Linux效劳器,其行使了多达6种传布习染方法,包罗4个长途履行弱点(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱明码爆破侵犯(SSH、Redis)。坚折服平安团队对该蠕虫举办了追踪。
现在为止,歹意软件较少会行使Go谈话编写,这是由于依赖库的起源,编译出来的程序较为冗余,以下经过VT能够得悉,该模范有近9M那末大。但是,行使Go谈话也有一个利益,便是易于集成第三方的库。
逆向解析对该模范举办反汇编,能够明确地看到弱点侵犯对应的函数,个中Attack函数是主函数,次序移用getip和checkPort,来搜罗同网段在线的主机IP,以及其怒放端口,若发觉有22、端口怒放,则对其举办弱明码爆破;若发觉有80端口,则对其举办弱点扫描及侵犯。
1、CVE__CVE__是Confluence的弱点,侵犯exp以下,将payload储备于_template参数中。
2、DrupalDrupal的侵犯exp以下,对应的CVE编号为CVE--。
3、ThinkPHPThinkPHP有两个弱点行使,底下这个是CVE--弱点,行使function=call_user_func_arrayvars[0]=systemvars[1][]=URL行使该弱点履行夂箢。
4、ThinkPHP2另一个弱点行使跟上头的宛如,侵犯exp以下。
5、Redis爆破Redis登岸不需求用户名,爆破会行使以下几个弱明码:admin、redis、root、、password、user、test。登岸胜利后,蠕虫会先移用FlushAll清除所珍稀据库,尔后建立一个root数据库来寄放歹意代码,该代码一样会被建立到/var/spool/cron和/etc/cron.d中以完成好久化潜匿。
插入的是底下这个歹意代码,这个代码的道理是,每隔一分钟,就解密履行一次