JBOSS Struts2 weblogic NDS fangongheike
预警:MX_FGHK_201906
匿名用户 2019-06-24 16:34:44 11608人浏览

TLP:White

 GITSEC CSIRT DFIR & Threezero

Tweet:@thr33z3r0 木星安全实验室  

最近一段时间,应急响应团队处理多起fangongheike事件(持续性攻击【PT】/Hacktivism),发现攻击者大量采用针对Jboss,Weblogic,Struts2等服务器发起攻击,在此调查过程中发现受损主机大多被一款名为Jexboss的黑客工具所攻击利用。

NDS_20190624153322.jpg

Jexboss是一款自动化的针对Jboss服务器进行安全检测的自动化黑客工具,目前被大量黑产黑客所利用,Freebuf网站以及US-CERT亦有针对Jexboss的分析。

FB_20190624154822.jpg

Freebuf文章

US_CERT_20190624155219.jpg

US CERT针对Jexboss的分析

目前,国内有大量政府,事业单位等网站使用Java/Jboss架构,并且没有进行任何安全加固,存在弱口令,Jboss默认没有开启来访IP日志记录,造成溯源的困难,最终造成服务器被攻破,植入后门,勒索病毒,网站被篡改等安全隐患。


取证过程中,发现tmp 目录中生成 jexws4-exp ,相信是 Jexboss 攻击工具上传war产生的临时文件。

DFIR_20190624155806.jpg

NTFS MFT时间线分析

DFIR2_20190624160249.jpg

国内JBoss服务分布统计

JBoss_A20190624160452.jpg

JBoss_B20190624160511.jpg

建议有关部门加强对存在漏洞的服务器的安全监测。

奖励计划banner
今日推荐