新的Linux惡意軟件利用SambaCry漏洞悄悄地后門NAS設備

回想起大約兩個月前，我們報告了Samba網絡軟件中一個7年前的嚴重遠程代碼執行漏洞，允許黑客遠程完全控制易受攻擊的Linux和Unix機器。

我們將該漏洞命名為SambaCry，因為它與兩個多月前在全球造成嚴重破壞的WannaCry勒索軟件所利用的Windows SMB漏洞相似。

趨勢科技（Trend Micro）的研究人員警告稱，盡管該漏洞已于5月下旬修復，但一款新的惡意軟件目前正在利用該漏洞攻擊物聯網（IoT）設備，尤其是網絡連接存儲（NAS）設備。

對于那些不熟悉的人：Samba是開源軟件（SMB/CIFS網絡協議的重新實現），它為Linux/Unix服務器提供基于Windows的文件和打印服務，并在大多數操作系統上運行，包括Linux、Unix、IBM System 390和OpenVMS。

在SambaCry漏洞（CVE-2017-7494）被公開披露后不久，該漏洞主要被用來安裝加密貨幣挖掘軟件，挖掘“Monero”數字貨幣的“CPUminer”，在Linux系統上。

然而，Trend Micro的研究人員在7月份發現的涉及SambaCry的最新惡意軟件活動主要針對中小型企業使用的NAS設備。

SHELLBIND惡意軟件利用SambaCry攻擊NAS設備

配音貝殼綁定，該惡意軟件在各種體系結構上工作，包括MIPS、ARM和PowerPC，并作為共享對象（.SO）文件發送到Samba公共文件夾，并通過SambaCry漏洞加載。

一旦部署到目標機器上，該惡意軟件將與位于東非的攻擊者的命令和控制（CampC）服務器建立通信，并修改防火墻規則，以確保其能夠與其服務器通信。

成功建立連接后，惡意軟件允許攻擊者訪問受感染的設備，并在設備中為他們提供一個開放的命令外殼，以便他們可以發出任意數量和類型的系統命令，并最終控制設備。

為了找到使用Samba的受影響設備，攻擊者可以利用Shodan搜索引擎將原始惡意軟件文件寫入其公共文件夾。

“在Shodan中很容易找到使用Samba的設備：使用‘Samba’字符串搜索445端口將出現一個可行的IP列表，”研究人員在解釋該漏洞時說。

“然后，攻擊者只需創建一個工具，即可將惡意文件自動寫入列表中的每個IP地址。一旦他們將文件寫入公共文件夾，具有SambaCry漏洞的設備可能會成為ELF_SHELLBIND.a受害者”。

然而，目前尚不清楚攻擊者對被破壞的設備做了什么，以及他們破壞這些設備的真正動機是什么。

SambaCry漏洞極易被攻擊，遠程攻擊者可利用該漏洞將共享庫上載到可寫共享，然后導致服務器加載并執行惡意代碼。

Samba的維護人員已經在Samba版本4.6.4/4.5.10/4.4.14中修補了該問題，因此建議您盡快針對該漏洞修補系統。

只需確保您的系統正在運行更新的Samba版本。

此外，攻擊者需要對目標系統上的共享位置具有可寫訪問權限才能交付有效負載，這是另一個可能降低感染率的緩解因素。