看看Drupalgeddon的客户端攻击

Drupal是最流行的内容管理系统（CMS）之一，以及WordPress和Joomla。2018年3月下旬，Drupal受重大远程执行漏洞的影响（cve - 2018 - 7600）然后是另一个（cve - 2018 - 7602）几乎一个月后，既恰当绰号，德鲁佩尔累德2和Drupalgeddon 3。

这些背靠背的漏洞伴随着概念的证明，这些概念几乎立即转化为现实世界的攻击。对于许多网站所有者来说，这种情况令人沮丧，因为修补程序的时间窗口变得相当小。此外，更新或升级Drupal(或与此相关的任何其他CMS)可能会有副作用，比如损坏的模板或功能，这就是为什么在转移到生产环境之前需要进行完整备份并在登台环境中测试更改的原因。

推出CMS通常是比较容易的部分。由于缺乏知识、害怕破坏某些东西，当然还有成本，维护它是最容易出现问题的地方。虽然每个网站所有者都有责任对他们的网站进行尽职调查，但结果通常是网站严重过时和被利用，通常不止一次。

样本集和网页抓取

我们决定选择尚未验证的数字Web属性（包括所有版本的Drupal，易受攻击或不）。我们的URL主要来源来自Shodan并由PublicWWW，总共需要抓取大约8万个网址。我们惊讶地发现，在这个过程中，我们很快就开始攻击被攻击的网站，并且能够确认900注入的Web属性．

许多结果都是托管在亚马逊或其他可能设置用于测试目的（暂存）的其他云提供商的服务器，并且切勿删除或升级。谢天谢地，他们几乎没有交通。我们遇到的其他域跨越各种垂直和语言，其中一个普通的分母：一个过时的版本（通常严重过时）的Drupal CMS。

图1：使用Fiddler爬行和标记受损的Drupal站点

Drupal版本

在撰写本文时，有两个推荐版本对于Drupal。版本8.x.x是最新，最伟大的功能，而一些新功能，而7.x.x被认为是最稳定和兼容的版本，尤其是涉及主题时。

图2：Drupal的两个主要支持的分支机构

几乎一半被我们标记为受影响的站点都在运行Drupal 7.5版本。而版本7.3。X仍然占了大约30%，考虑到它是最近更新的版本，这个数字相当高2015年8月．从那时起，许多安全漏洞被发现(并被利用)。

图3:属于特定Drupal版本的受损站点的百分比

有效载荷

通过这两种攻击被入侵的大量Drupal站点也感染了服务器端恶意软件，特别是XMRig cryptocurrency矿工．然而，在本文中，我们将重点关注这些妥协的客户端效应。但两者都不是排他性的，人们应该预料到被黑客攻击的站点可能在服务器端和客户端都执行恶意操作。

不出所料，网络矿工迄今为止我们注意到的最常见的注射类型。但我们也遇到了一些不同的社会工程竞选活动。

图4：最常见的有效载荷的细分

Web矿工

开车攻击虽然在2017年秋天的屋顶走了，但在今年年初放慢略微下跌。可以安全地说最近的Drupal漏洞已经向火灾增加了燃料，并导致了增加的活动。虽然公共或私人Monero游泳池也是获得牵引力，但币仍然是最受欢迎的选择。

我们看到的是和以前一样的竞选活动已经记录了并正在每天诱捕更多的受害者。

图5：哈佛大学主要网站矿业Monero的子域

假更新

这场假冒浏览器的运动更新了我们之前记录仍然很强大。它分发了远程管理工具（RAT）的密码偷窃者。

图6:一个被攻击的Drupal站点发布了一个虚假的Chrome更新

技术支持诈骗(棕发)

浏览器储物柜页面的重定向 - 一种揭示技术支持诈骗的典型方法。我们能够记录最常见的重定向涉及使用.tk顶级域（TLD）名称重定向到浏览器储物柜页面的中间站点。

mysimplename [] com/si.php window.location.replace (" http://hispaintinghad [] tk /索引/ ? 1641501770611”);window.location.href = " http://hispaintinghad [] tk /索引/ ? 1641501770611”;

图7：将受损的Drupal主机重定向到浏览器储物页页

Web矿工和注入代码

我们收集了不同类型的代码注入，从简单而清晰的文本到长时间的混淆模糊。值得注意的是，在许多情况下，代码是动态的 - 很可能是一种逃避检测的技术。

图8:一些最常见的矿机注入的拼贴

快照

以下是按类别排序的受损站点的一些示例。我们联系了所有受影响的各方，让他们知道他们的资源被犯罪分子正在使用恶意加密或恶意软件感染的利润。

图9：教育（南加利福尼亚大学）

图10:政府(阿肯色州法院和社区倡议)

图11：政党（加利福尼亚州的绿党）

图12:广告服务器(Indian TV Revive广告服务器)

图13:Religion (New Holly Light)

图14:健康(NetApp收益)

图15：会议（Red Hat Partner会议）

图16:Tech (ComputerWorld的巴西门户网站)

恶意加密挖矿仍然很热门

很明显，现在，加密是首选的恶意注射。有许多公共但也有私人API，使整个过程变得简单，不幸的是他们被糟糕的演员滥用。

受损的网站大而小的仍然是攻击者会随着时间的推移而达到的热门商品。因为修补仍然是一个问题，所以潜在的新受害者的数量永远不会停止生长。鉴于此，当修补时，网站所有者应该在修补并不总是立即选择时，检查有些人称虚拟修补的其他类型的缓解。特别是，Web应用程序防火墙（WAFS）帮助许多人保持受到保护，即使是新类型的攻击，甚至在CMS易受攻击时也是如此。

必威平台APP继续检测和阻止恶意加密和其他不需要的重定向。

妥协的指标

斗鸡

- > uri

cnhv(。)有限公司/ 1 nt9z coinhive [] com/lib/coinhive.min.js coinhive com/lib/cryptonight。。wasm coinhive [] com/lib/worker-asmjs.min.js吗?v7 ws [0 - 9] {3} .coinhive com/proxy。

- >网站键

CmGKP05v2VJbvj33wzTIayOv6YGLkUYN f0y6o5ddrxo1be4ngzub1yhdawqyfld kadhxvdilslxbzzlaejfqdazotivm5jkf MKr3Uf5CaT88pcqzAXltkBu4Us5gHWaj nl9ttsygevu8fbkr9fuvwwwu4qpj4z2i no2z8xx4wsiouytma9xz0tyudegwbw2yk oHaQn8uDJ16fNhcTU7y832cv49PqEvOS PbNDLKIHLCM0hNXOIM7sRTsk66ZuAamf ryewxxbpvlfpnszuh231alxoyadpguxy XoWXAWvizTNnyia78qTIFfATRgcbJfGxYaUkuGZ3pmuPVsBMDxSgY45DwuBafGA3

Crypto-Loot

- > Uri.

cryptaloot [] pro / lib / justdoit2.js

- >键

6508 c995ba46a78b237c5f53e5fef90cd09b5f09e92 48427 a11b897365897580ba68f93a5583cc3a15637212 d1ba2c966c5f54d0da15e2d881b474a5091a91f7c702

EthPocket

eth-pocket(。com: 8585 eth-pocket [] de / perfekt / perfekt.js

JSECoin

JSecoin [。] com / platform / banner1.html？your1564＆utm_content =

DeepMiner

greenindex.dynamic-dns net/jqueryeasyui.js。

其他CryptoNight-based矿工

cloudflane com/lib/cryptonight.wasm。

FakeUpdates

track.positiverefreshment [] org/s_code.js吗?cid = 220增加了= 24 eca7c911f5e102e2ba click.clickanalytics208 [] com/s_code.js吗?cid = 240增加了= 73 a55f6de3dee2a751c3 185.244.149(。74年]74 5.9.242 []

科技骗局

192.34.61(。245 192.81.216[。165 193.201.224[。233 198.211.107[。153 198.211.113[。147 206.189.236[。91 208.68.37[。2 addressedina[。] tk andtakinghis[。] tk andweepover[。] tk asheleaned[。] tk baserwq[。] tk blackivory[。] tk blownagainst[。] tk cutoplaswe[。] tk dearfytr[。] tk doanythingthat[。] tk faithlessflorizel[。] tk grey-plumaged[。] tk haddoneso[。] tk handkerchiefout[。] tk himinspectral[。]tk hispaintinghad[.]tk ifheisdead[.]tk itshandupon[.]tk iwouldsay[.]tk leadedpanes[.]tk millpond[.]tk mineofcourse[.]tk momentin[.]tk murdercould[.]tk mysimplename[.]com nearlythrew[.]tk nothinglikeit[.]tk oncecommitted[.]tk portraithedid[.]tk posingfor[.]tk secretsoflife[.]tk sendthemany[.]tk sputteredbeside[.]tk steppedforward[.]tk sweeppast[.]tk tellingmeyears[.]tk terriblehope[.]tk thatwonderful[.]tk theattractions[.]tk thereisnodisgrace[.]tk togetawayt[.]tk toseethem[.]tk wickedwere[.]tk withaforebodingu[.]tk