该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。
Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。”
这家网络安全公司对僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。
KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘,并将网站的合法流量重定向到垃圾邮件页面。但是,它也被用来进行defacement攻击。
无论出于何种动机,他们利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。
Imperva的研究人员表示,根据它在一次此类defacement中发现的攻击特征,他们认为僵尸网络是一个名叫Exect1337的黑客的作品,该黑客是印度尼西亚黑客团队PhantomGhost的成员。
KashmirBlack的基础架构很复杂,包括两个单独的存储库,一个用于托管漏洞利用程序和有效负载,另一个用于存储恶意脚本以与C2服务器通信。
僵尸程序本身要么被指定为“传播僵尸程序”(与C2通信以接收感染新受害者的命令的受害者服务器),要么被指定为“待定僵尸程序”(其在僵尸网络中的用途尚待确定)。
尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序,但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。
但是,随着僵尸网络规模的扩大,越来越多的僵尸网络开始从存储库中获取有效负载,他们的基础架构已进行了调整,使其通过添加负载平衡器实体来变得更具可伸缩性,该实体返回新设置的冗余存储库之一的地址。
KashmirBlack的最新版本也许是最阴险的。上个月,研究人员发现僵尸网络使用Dropbox替代了其C2基础架构,滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。
Imperva说:“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。”?“这是伪装僵尸网络流量,确保C&C操作安全的又一步,而且最重要的是,我们很难将僵尸网络追溯到操作背后的黑客。”
|