KashmirBlack 僵尸网络劫持了大量CMS网站

研究人员最近发现一个活跃的僵尸网络，由遍布30个国家的数十万个被劫持的系统组成，该攻击正在利用“数十个已知漏洞”，将广泛使用的内容管理系统(CMS)作为攻击目标。

据悉，“KashmirBlack”活动于2019年11月左右开始，目标是针对流行的CMS平台，如WordPress、Joomla!、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart和Yeager。

Imperva的研究人员在一份分析报告中说：

“它精心设计的基础设施使得它很容易扩展和增加新的漏洞或有效载荷，而且它使用复杂的方法来伪装自己不被发现，并保护它的运行。”

这家网络安全公司对KashmirBlack僵尸网络进行了为期六个月的调查，结果显示，该复杂操作由一台命令控制（C2）服务器和60多个代理服务器管理，这些服务器与僵尸网络进行通信以发送新目标，从而通过暴力攻击和安装后门来访问僵尸网络，扩大僵尸网络的规模。

KashmirBlack的主要目的是滥用门罗币加密货币挖掘系统的资源，并将网站的合法流量重定向到垃圾邮件页面，但是，它也被用来进行攻击。

无论出于何种动机，开发尝试均始于利用PHPUnit RCE漏洞（CVE-2017-9841）用与C2服务器通信的下一阶段恶意有效载荷感染客户。

Imperva的研究人员发现，根据在曾经的这种攻击中发现的攻击特征，他们相信这个僵尸网络是由一个名叫Exect1337的黑客所为，他是印尼黑客团队PhantomGhost的成员。

KashmirBlack的基础架构很复杂，包括多个活动部分，包括两个独立的存储库，一个用于托管漏洞利用程序和有效载荷，另一个用于存储恶意脚本以与C2服务器通信。

僵尸程序本身要么被指定为“传播僵尸程序”，一个受害者服务器，与C2通信，接收感染新受害者的命令；要么被指定为“待定僵尸程序”，一个新被入侵的受害者，其在僵尸网络中的作用尚未确定。

当CVE-2017-9841被用来将一个受害者变成一个传播僵尸时，成功利用CMS系统的15个不同的漏洞会导致一个受害者站点成为僵尸网络中一个新的待处理僵尸，KashmirBlack运营商使用了一个单独的WebDAV文件上传漏洞来造成损坏。

但随着僵尸网络的规模不断扩大，越来越多的僵尸开始从存储库获取有效载荷，基础设施也进行了调整，增加了一个载荷均衡器对象，以返回一个新设置的冗余存储库的地址，从而使其更具可扩展性。

KashmirBlack的最新版本也许是非常危险，上个月，研究人员发现僵尸网络使用Dropbox替代了其C2基础架构，滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上传攻击报告。

Imperva的研究人员发现转移到Dropbox可以使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。这是伪装僵尸网络流量、保护C&C操作安全的关键一步，最重要的是，这样做的目的是研究人员很难追踪僵尸网络，以找到攻击背后的组织。