漏洞簡介

F5 BIG-IP 是美國 F5 公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺。

近日，F(xiàn)5的安全公告更新了BIG-IP，BIG-IQ中的多個嚴(yán)重漏洞，建議廣大用戶及時將F5 BIG-IP/BIG-IQ升級到最新版本，最新版本下載地址：

https://support.f5.com/csp/article/K02566623,漏洞允許定義身份驗證的攻擊者通過 BIG-IP 管理界面和自身IP地址對 iControl REST 接口進(jìn)行網(wǎng)絡(luò)訪問，以執(zhí)行任意系統(tǒng)命令，控制目標(biāo)機器。

漏洞研究

F5 BIG-IP的訪問登錄頁面，如下所示：

向網(wǎng)站發(fā)送構(gòu)造的漏洞POC請求數(shù)據(jù)包，執(zhí)行任意命令，POC請求數(shù)據(jù)包，如下所示：

如果存在漏洞，則會執(zhí)行命令id，這個漏洞的POC腳本有興趣的可以去自行下載研究，github地址：https://github.com/h4x0r-dz/RCE-Exploit-in-BIG-IP。

病毒研究

一些黑客組織已經(jīng)開始利用這個漏洞傳播挖礦病毒，國內(nèi)外各安全廠商應(yīng)該也監(jiān)控到一些相關(guān)的數(shù)據(jù)包，捕獲到的數(shù)據(jù)包流量與之前構(gòu)造POC請求的流程數(shù)據(jù)包格式一樣，如下所示：

直接下載里面的payload惡意腳本，進(jìn)行分析研究。

1.關(guān)閉其他挖礦病毒家族進(jìn)程，如下所示：

2.如果檢測到阿里云相關(guān)進(jìn)程，則下載并執(zhí)行uninstall.sh和quartz_uninstall.sh腳本卸載、刪除阿里云盾(安騎士)產(chǎn)品，如下所示：

3.清理阿里云盾殘留項，停止并禁用阿里云服務(wù)，如下所示：

4.關(guān)閉并刪除百度云Agent服務(wù)，阿里云監(jiān)控，如下所示：

5.如果檢測到騰訊云鏡等進(jìn)程，則通過腳本卸載刪除云鏡，如下所示：

6.下載并安裝挖礦程序，如下所示：

下載安裝的挖礦程序是開源挖礦程序，下載鏈接：

https://github.com/xmrig/xmrig/releases/latest/xmrig.tar.gz

7.修改挖礦程序的配置，如下所示：

最后關(guān)閉相關(guān)進(jìn)程，再生成輔助腳本啟動挖礦程序進(jìn)行挖礦操作，腳本基本分析完了，比較簡單，這款Linux挖礦病毒礦池為spy pool(天池)，礦池地址：https://skypool.org/,挖礦URL地址為：www.skypool.in:80。

筆者之前也分析過一些基于Linux平臺下的挖礦病毒，使用的惡意腳本基本上大同小致，現(xiàn)在一些黑客組織會使用Rootkit等高級技術(shù)隱藏挖礦病毒進(jìn)程或挖礦流量等，不過通過漏洞下載傳播的腳本基本套路都差不多，主要功能是就是對抗安全軟件、常駐系統(tǒng)挖礦、干掉其他挖礦惡意家族等，使用的挖礦病毒大多數(shù)也是開源挖礦代碼程序或基于開源挖礦代碼修改的制定版挖礦程序。

前段時間BTC價格瘋漲，曾一度爆漲到超過六萬美元，真的是太瘋狂了，現(xiàn)在BTC已經(jīng)不好挖，也很難挖到了，所以大部分黑客組織通過挖礦病毒程序來挖門羅幣，目前勒索大部分還是以勒索BTC為主，但是隨著門羅幣的發(fā)展與流行，Sodinokibi勒索病毒之前也開始勒索門羅幣，受害者可以通過交付門羅幣解密文件。

總結(jié)

隨著云計算的發(fā)展，黑客組織的攻擊目標(biāo)早就已經(jīng)瞄準(zhǔn)了云計算，一些黑客組織會通過云端應(yīng)用程序漏洞來植入各種惡意軟件(挖礦、勒索、竊密、遠(yuǎn)控、后門)到云服務(wù)器上，通過將挖礦病毒植入企業(yè)云服務(wù)器后，可以利用企業(yè)的云服務(wù)器幫助黑客組織來挖礦獲取利益。

企業(yè)數(shù)據(jù)安全已經(jīng)成為未來網(wǎng)絡(luò)安全最關(guān)注的方向，未來會有更多的企業(yè)將數(shù)據(jù)存儲到云服務(wù)器上，使用云計算廠商提供的相關(guān)服務(wù)，勒索病毒攻擊組織從去年開始就已經(jīng)向這些云計算服務(wù)器發(fā)起攻擊，對暴露在公網(wǎng)上的云計算的VPS、ECS、虛擬主機等進(jìn)行掃描，同時會對一些服務(wù)器托管服務(wù)商和運營商進(jìn)行定向攻擊。

未來基于云計算市場的發(fā)展，各企業(yè)對云安全的需求會越來越旺盛，國內(nèi)各安全廠商也紛紛開始云原生安全產(chǎn)品的推廣，像云主機安全類產(chǎn)品，云防火墻類產(chǎn)品，云WEB應(yīng)用防護類產(chǎn)品等，其實不管推出什么新產(chǎn)品，叫什么新名字，基于什么平臺之類，這些產(chǎn)品主要還是想解決的兩大核心問題，一個是漏洞問題，一個是病毒問題，漏洞會一直存在，病毒更是無處不在，而且就像筆者之前說的，從計算機安全問題出現(xiàn)的第一天起，安全問題主要還是以這兩個核心為基礎(chǔ)，一個漏洞，一個病毒，漏洞與病毒總是相輔相成的，病毒會利用漏洞進(jìn)行傳播，漏洞可以作為病毒傳播的載體，每次只要有新的漏洞曝光，黑客組織都會第一時間盯上這些曝光的漏洞，試圖利用這些漏洞傳播各種惡意軟件，漏洞是病毒的一種傳播方式，同時一些病毒也會包含漏洞，通過漏洞橫向擴散，系統(tǒng)提權(quán)，殺軟對抗等操作，除了利用漏洞，黑客組織也會通過其他各種不同的攻擊方式來傳播病毒。文章來源地址http://www.zghlxwxcb.cn/news/detail-830601.html

到了這里，關(guān)于黑客利用F5 BIG-IP漏洞傳播Linux挖礦病毒的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！