研究人员: Asaf G.和Adi I.
的Joomla!是最受欢迎的CMS平台之一,全球数十万家组织使用它。多年来,该产品中发现了许多漏洞,例如Joomla Core Sterilizer跨站点脚本过滤器权限提升(CVE-2017-7985)和Joomla对象注入远程命令执行(CVE-2015-8562)。实际上,在过去两年中,有证据表明Joomla已知漏洞的数量大幅增加。
最近,Check Point Research发现了一个来自已知威胁演员的新活动,该演员正在利用Joomla中旧漏洞的新后门!并正在利用它来货币化他的攻击。
图1:多年来的Joomla漏洞
Jmail是Joomla的邮件服务,使用户能够通过平台发送邮件。虽然打算发送电子邮件,但与任何PHP一样,当它缺乏适当的安全机制时,它可以被操纵用于网络钓鱼,垃圾邮件,甚至在平台内实现后门基础设施。实际上,通过在HTTP请求上对User-Agent标头实施简单操作,可以操纵平台并覆盖现有的Jmail服务。
威胁演员Alarg53当然知道这一点,目前正在利用它来开展有利可图的垃圾邮件活动。但这并不是Alarg53第一次开始这样的冒险。两年前,他因为类似的目的通过WordPress漏洞攻击斯坦福大学服务器而引起了全世界的关注。鉴于Alarg53是一个知名的黑客,已经设法破解了超过15,000多个站点,这次他已经遇到了大的时间,因为他的攻击已经发展到包括一个重要的,高规模的后门和网络钓鱼基础设施。
攻击流程
- 利用Joomla对象注入远程命令执行
首先,攻击者使用旧的和已知的对象注入远程代码执行(RCE),其中代码被注入HTTP请求中的User-Agent头字段。在我们的示例中,攻击者在User-Agent字段中注入base64字符串。
图2: base64解码的PHP代码
然后,PHP代码下载文件并将其存储在特定路径中。
解码后,它将转换为在受害者计算机上运行的PHP代码。代码尝试从Pastebin下载特定文件并将其存储在指定路径中。在其中一次下载尝试中,我们注意到指定的路径是“./libraries/joomla/jmail.php”,这被发现非常有趣。
值得一提的是,一些文件的URL在被发现时已经死了。
覆盖Joomla的Jmail服务
有趣的文件显然是一个包含PHP代码的HTML文件。该文件包含两个主要部分,提供两种功能 - 发送邮件和上传文件。选择文件名和Joomla库文件夹中文件的大致位置,以便管理员认为后门实际上是一个合法的Joomla核心文件。
图3:文件中的邮件部分
图4:文件中的上传部分
为了掩盖上传功能,攻击者使用许多BR标记并将相关内容放在文件末尾
重要的后门和网络钓鱼基础设施
从现在开始,此文件实际上是一个基础结构,攻击者可以在其中上传文件并发送邮件以用于自己的目的。根据我们的威胁演员在网络上的活动,似乎这种基础设施被用于网络钓鱼和邮件垃圾邮件。
图5:攻击者制作的网络钓鱼页面示例
谁在攻击背后?
基于几个指标,幕后威胁行为者是一名埃及污损黑客,称为Alarg53。在过去几年中,Alarg53成功破解了超过15,000个网站,并将其主页替换为“被Alarg53黑客攻击”。从那以后,在过去的几年里,Alarg不仅试图破解网站,还试图建立网络钓鱼和垃圾邮件基础设施。两年前,Alarag53在斯坦福大学的网站上攻击了老龄化生物中心,引起了全世界的关注。起初,它被认为只是另一个“Hacked By Alarg53”攻击,但在几个小时内,两个PHP文件被上传到相关服务器,使他们能够发送大量垃圾邮件。
图6: “Hacked By Alarg53”主页的示例
起初,Alarg53主要是黑客主义,黑客攻击网站,以支持他的意识形态,以及黑客的纯粹挑战。不过,最近他开始通过加密挖掘攻击和网络钓鱼基础设施将其活动货币化。
他的攻击影响了世界上许多国家,包括美国和墨西哥,葡萄牙,英国,法国,印度和日本。许多行业也受到影响,包括金融,银行和政府。
图7: 显示Alarg53活性的图谱
摘要
Jmail Breaker是一个重要的后门和网络钓鱼基础设施,由一个拥有强大记录的知名黑客建立。使用旧的Joomla Object Injection漏洞,攻击者设法创建了一个有趣的链,最终可以通过网络钓鱼和垃圾邮件基础设施来利用这一链。我们预计,在不久的将来,我们很快就会看到此类垃圾邮件方法的证据。
SandBlast网络保护
Check Point客户受以下IPS保护:
- Joomla对象注入远程命令执行(CVE-2015-8562)
- Joomla JmailBreaker PHP Web Shell后门
- Joomla JmailBreaker任意文件上传
本文作者为Mr.Bai,转载请注明。
