• 最新活动
  • 产品
    • 云计算

      云服务器 热销

      高速稳定高弹性的计算服务

      负载均衡

      高性能流量分发的负载均衡服务

      对象存储

      高可用、易扩展、低成本、一站式

      云数据库 MySQL

      稳定可靠、可弹性伸缩的数据方案

      云数据库 SQL Server

      安全运行、轻松管理的数据方案

    • 网站服务

      云虚拟主机 热销

      基于云计算的虚拟主机服务

      域名注册 火爆进行中

      提供主流域名注册服务

      CDN加速

      智能调度的内容分发服务

      短信服务

      提供专业、稳定、安全的云通信产品

      华为云代理

      华为云高折扣高返点

    • IDC服务

      服务器托管

      安全贴心高品质的托管服务

      裸金属服务器

      高性能安全隔离物理集群服务

      大带宽

      专有网络传输通道,完全隔离

      壹站邦分销系统

      一键部署、低成本、快速运营

      阿里云代理

      阿里云新购升级皆有返点

    • 安全与管理

      SSL证书 热销

      提供一站式的证书部署服务

      云监控

      精准灵活超便捷的资源预警服务

      网站备案

      免费、快速、便捷的备案服务

      DDOS高防 防不住包退

      一秒切换,无需更换IP,误伤率可降为0

  • 保障
    • 信任中心 >

      基础设施与网络

      服务保障能力

      数据安全

      合规资质

    • 数据中心 >

      中国内蒙数据中心

      中国大连数据中心

      中国深圳数据中心

      中国香港数据中心

    • VIP会员服务 >

      7*24小时服务支持

      0元快速备案

      100倍故障赔偿

      5天无理由退款

    • 防诈骗公益宣传 >

      行为识别

      安全防范

      典型案例

      法律法规

  • 解决方案
    • 行业解决方案

      网站解决方案

      游戏云解决方案

    •  

      金融云解决方案

    •  

      电商云解决方案

    •  

      移动云解决方案

  • 帮助中心
  • 腾讯云
    • 腾讯云

      腾讯云优惠 上云最佳选择

      腾讯云最新的促销打折、腾讯云优惠折扣

      腾讯云服务器

      腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务

      腾讯云数据库

      腾讯云数据库是腾讯云提供的高可靠、高可用、可弹性伸缩的云数据库服务产品的总称

      腾讯云轻量服务器

      腾讯云轻量应用服务器是一种易于使用和管理、适合承载轻量级业务负载的云服务器

      腾讯云GPU服务器

      AI加速 科学计算 实时渲染首选,让AI更有温度,体验身临其境

    • 腾讯云

      美颜特效

      腾讯云美颜特效SDK、API

      实时音视频

      腾讯云实时音视频SDK、API

      直播SDK

      腾讯云直播SDK、API

      即时通信IM

      腾讯云即时通信IM、聊天SDK、API

      人脸核身

      腾讯云人脸核身SDK、API

    • 腾讯云

    • 腾讯云

      腾讯云服务支持

      一站式服务,安心购,无忧用

    • 腾讯云

      服务支持

      一站式服务,安心购,无忧用

  • 关于我们
  • 备案
  • 控制台
-
  • 前往实名认证 >
  • 账户余额 -元
  • 产品管理 -
  • 未支付订单 -
  • 我的工单 -
  • 新消息 -
  • 退出账号
账号登录 快速注册

关于我们

质量为本、客户为根、勇于拼搏、务实创新

  • 公司简介
  • 新闻公告
  • 联系我们
  • 法律声明
  • 友情链接

新闻公告

  • 优惠活动
  • 公司公告
  • 腾讯云
< 返回新闻公共列表

腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用,该攻击正扩散,可使用防火墙阻截

发布时间:2021-08-12 04:07:31

一、概述

腾讯主机安全(云镜)捕获YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰,一次在7月3号,一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击,7月4日Mirai僵尸网络木马攻击的规模更大,已部署腾讯云防火墙(链接)的云主机成功防御此轮攻击。

2dffa1bd00a12f5d606cbcfdab00d214.png


BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分活跃的僵尸网络家族,这两个僵尸网络家族多用高危漏洞利用做为入侵手段,腾讯安全研究人员发现这两个团伙正在利用YAPI接口管理平台远程代码执行漏洞发起攻击,目前该漏洞暂无补丁,处于0day状态。

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。腾讯安全网络空间测绘数据显示,国内采用YAPI接口管理平台的服务器上万台,主要分布于浙江、北京、上海、广东等省市(占比超过80%)。

naw4nnisd4.png

因YAPI远程代码执行0day漏洞暂无补丁,BillGates僵尸网络与Mirai僵尸网络木马家族主要利用受控主机进行DDoS攻击、留置后门或进行挖矿作业。腾讯安全专家建议采用YAPI接口管理平台的政企机构尽快采取以下措施缓解漏洞风险:

1.  部署腾讯云防火墙实时拦截威胁;

2.  关闭YAPI用户注册功能,以阻断攻击者注册;

3.  删除恶意已注册用户,避免攻击者再次添加mock脚本;

4.  删除恶意mock脚本,防止再被访问触发;

5.  服务器回滚快照,可清除利用漏洞植入的后门。

腾讯安全威胁情报系统已支持自动化输出告警事件详细分析报告,方便安全运维人员获得更丰富的情报信息,以便对告警事件进行回溯处置。

0eh7x3fmfw.png

腾讯安全旗下全系列产品已经支持对YAPI接口管理平台远程代码执行漏洞的利用进行检测防御:

9ax52dx67e.png

二、腾讯安全解决方案

BillGates家族与Mirai家族相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

腾讯安全威胁情报中心检测到利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动已影响数千台未部署任何安全防护产品的云主机,腾讯安全专家建议政企机构公有云系统部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。

腾讯云防火墙支持检测拦截利用YAPI接口管理平台远程代码执行漏洞发起的攻击活动。腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。


7ukiysid83.png

7ijtfkfjon.png

已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现,腾讯主机安全(云镜)可对攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

eaebonjoqc.png

私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用YAPI接口管理平台远程代码执行漏洞发起的恶意攻击活动。

企业客户可通过旁路部署腾讯天幕(NIPS)实时拦截利用YAPI接口管理平台远程代码执行漏洞的网络通信连接,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

mud5e0edrv.png

三、YAPI接口管理平台0day漏洞分析

YAPI接口管理平台是某互联网企业大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务。该平台被国内众多知名互联网企业所采用。

其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。


由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。

该漏洞暂无补丁,建议受影响的企业参考以下方案缓解风险:

1.  部署腾讯云防火墙实时拦截威胁;

2.  关闭YAPI用户注册功能,以阻断攻击者注册;

3.  删除恶意已注册用户,避免攻击者再次添加mock脚本;

4.  删除恶意mock脚本,防止再被访问触发;

5.  服务器回滚快照,可清除利用漏洞植入的后门。

四、详细分析

攻击脚本

x9z6y9flgm.png

攻击者首先注册功能先注册账号,登录账号后才能自定义mock脚本。

攻击者通过mock脚本中植入恶意命令,待用户访问mock接口发起请求时触发命令执行。

木马文件

7.1号以来主机侧累计利用该漏洞捕获到的木马文件:

4v2m32ebi7.png

木马文件详细信息:

文件名称

文件MD5

文件家族

是否新变种

hxxp://2w.kacdn.cn/20000

c303c2fff08565b7977afccb762e2072

BillGates

否

hxxp://117.24.13.169:881/KaBot

56b157ffd5a4b8b26d472395c8d2f7dc

BillGates

否

hxxp://117.24.13.169:118/2771

56b157ffd5a4b8b26d472395c8d2f7dc

BillGates

否

hxxp://117.24.13.169:664/botmm/x86_64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

否

hxxp://66.42.103.186/hang/x86_64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

否

hxxp://27.50.49.61:1231/X64

3b904f9bc4f8f504598127ed702c3e1e

Mirai

否

本次攻击投递的木马文件未发现新变种,但漏洞利用速度极快7.2号出现攻击事件之后,短短一周已有上千台主机失陷,目前官方尚无补丁可用,受影响的客户需要在主机侧关闭用户注册与脚本添加权限,已失陷主机需尽快回滚服务器快照。

BillGates僵尸网络木马及Mirai僵尸网络木马和以往的版本并无差异,这里不再赘述。

威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放YAPI注册服务。

资源开发

在YAPI平台注册开发者账号。

初始访问

利用对外开放的mock脚本添加服务,植入恶意命令

执行

触发接口调用,执行恶意命令

影响

驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

MD5

c303c2fff08565b7977afccb762e2072

56b157ffd5a4b8b26d472395c8d2f7dc

3b904f9bc4f8f504598127ed702c3e1e

URL:

hxxp://2w.kacdn.cn/20000

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://66.42.103.186/hang/x86_64

hxxp://27.50.49.61:1231/X64






本文链接:https://www.yzban.cn/news/content/13.html 复制本文链接 链接已复制
/template/Home/ShiwaiA1/PC/Static
注册即可领取40+款免费体验产品,为您提供优质的上云实践机会。企业用户最高可获得180天云服务器体验时长
开始体验
  • 5天内无理由退款
  • 免费备案
  • 1V1大客户服务
  • 7x24小时服务
  • 壹站邦

    • 官方公告
    • 荣誉资质
    • 服务协议
    • 法律声明
    • 关于我们
  • 行业解决方案

    • 游戏云解决方案
    • 金融解决方案
    • 电商解决方案
    • 网站解决方案
    • 移动云解决方案
  • 帮助与支持

    • 账户问题
    • 备案指南
    • 常见问题
    • 网站备案
    • 工单服务
  • 合作与生态

    • 合作伙伴
    • 壹站邦分销系统
    • 业界动态
    • 联系我们
    • 服务市场
  • 管理控制中心

    • 控制中心
    • 续费管理
    • 订单管理
    • 财务管理
    • 账户管理
服务热线:Array联系我们
简体中文
  • 简体中文
  • English
  • 繁体中文

深圳市壹站邦科技有限公司
旗下品牌:壹站邦
服务热线

18682484654 18129837002

热门产品

  • 域名注册
  • 云服务器
  • 云虚拟主机
  • 负载均衡
  • 网络加速
  • 云数据库
  • 对象存储
  • SSL证书
  • 裸金属

帮助中心

  • 文档中心
  • 账户问题
  • 备案指南
  • 控制台使用
  • 常见问题
  • 法律法规
  • WHOIS查询
  • 工单服务
  • 服务协议
Copyright © 2018-2021 yzban.cn. All Rights Reserved. 壹站邦科技 版权所有
粤公网安备 44030502007900号 工信部备案:粤ICP备2021101436号 统一社会信用代码:91440300MA5EDUAQ8N 授权代理商:华为技术有限公司
简体中文
  • 简体中文
  • English
  • 繁体中文
  • QQ咨询
    联系客服获取更多优惠
    • 921184386
    • 412442617
  • 微信咨询
    腾讯云优惠,阿里云折扣,腾讯云代理商,阿里云代理商,华为云代理商,腾讯云服务器,腾讯云代金券,阿里云代金券,腾讯云返点,阿里云返点,华为云返点,阿里云续费,腾讯云阿里云,腾讯服务器,ddos高防大客户报价,技术方案
  • 电话咨询
    请选择客服进行咨询
    • 18129837002
    • 18682484654
  • 备案
  • 工单
  • TOP