新的Linux恶意软件利用SambaCry漏洞悄悄地后门NAS设备

回想起大约两个月前，我们报告了Samba网络软件中一个7年前的严重远程代码执行漏洞，允许黑客远程完全控制易受攻击的Linux和Unix机器。

我们将该漏洞命名为SambaCry，因为它与两个多月前在全球造成严重破坏的WannaCry勒索软件所利用的Windows SMB漏洞相似。

趋势科技（Trend Micro）的研究人员警告称，尽管该漏洞已于5月下旬修复，但一款新的恶意软件目前正在利用该漏洞攻击物联网（IoT）设备，尤其是网络连接存储（NAS）设备。

对于那些不熟悉的人：Samba是开源软件（SMB/CIFS网络协议的重新实现），它为Linux/Unix服务器提供基于Windows的文件和打印服务，并在大多数操作系统上运行，包括Linux、Unix、IBM System 390和OpenVMS。

在SambaCry漏洞（CVE-2017-7494）被公开披露后不久，该漏洞主要被用来安装加密货币挖掘软件，挖掘“Monero”数字货币的“CPUminer”，在Linux系统上。

然而，Trend Micro的研究人员在7月份发现的涉及SambaCry的最新恶意软件活动主要针对中小型企业使用的NAS设备。

SHELLBIND恶意软件利用SambaCry攻击NAS设备

配音贝壳绑定，该恶意软件在各种体系结构上工作，包括MIPS、ARM和PowerPC，并作为共享对象（.SO）文件发送到Samba公共文件夹，并通过SambaCry漏洞加载。

一旦部署到目标机器上，该恶意软件将与位于东非的攻击者的命令和控制（CampC）服务器建立通信，并修改防火墙规则，以确保其能够与其服务器通信。

成功建立连接后，恶意软件允许攻击者访问受感染的设备，并在设备中为他们提供一个开放的命令外壳，以便他们可以发出任意数量和类型的系统命令，并最终控制设备。

为了找到使用Samba的受影响设备，攻击者可以利用Shodan搜索引擎将原始恶意软件文件写入其公共文件夹。

“在Shodan中很容易找到使用Samba的设备：使用‘Samba’字符串搜索445端口将出现一个可行的IP列表，”研究人员在解释该漏洞时说。

“然后，攻击者只需创建一个工具，即可将恶意文件自动写入列表中的每个IP地址。一旦他们将文件写入公共文件夹，具有SambaCry漏洞的设备可能会成为ELF_SHELLBIND.a受害者”。

然而，目前尚不清楚攻击者对被破坏的设备做了什么，以及他们破坏这些设备的真正动机是什么。

SambaCry漏洞极易被攻击，远程攻击者可利用该漏洞将共享库上载到可写共享，然后导致服务器加载并执行恶意代码。

Samba的维护人员已经在Samba版本4.6.4/4.5.10/4.4.14中修补了该问题，因此建议您尽快针对该漏洞修补系统。

只需确保您的系统正在运行更新的Samba版本。

此外，攻击者需要对目标系统上的共享位置具有可写访问权限才能交付有效负载，这是另一个可能降低感染率的缓解因素。