未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件

Apache Tomcat 是一款开源的 Java 应用服务器，相关调查显示仅一般的受访 Java 团队都在使用这一主要的应用服务器。Tomcat 的这种热门性使其成为僵尸网络传播威胁人员的香饽饽。Aqua Security 公司的研究团队 Nautilus 在部署的 Tomcat 服务器蜜罐在过去两年来吸引了803次攻击，主要是通过 Mirai 僵尸网络 payload 感染服务器，从而执行分布式拒绝服务攻击和挖矿攻击。

Nautilus 的安全数据分析师 Nitzan Yaakov 在博客文章中指出，“这些攻击利用弱用户的不当配置和密码（凭据）释放 web shell，从而导致远程代码执行后果。”研究人员发现攻击中用了12个不同的 web shell。其中最常见的攻击类型发生了152次，释放了一个名为 “neww” 的shell 脚本。

Yaakov 并未讨论攻击归因但表示 “neww”脚本源自24个唯一的IP地址，其中三分之二的攻击源自一个地址104.248.157[.]218。

研究人员分析认为威胁人员专门攻击 Tomcat web 应用管理器app中的配置不当问题，使用户管理所部署的 web 应用。

Yaakov 提到，“授权用户可访问的 Tomcat 资源可见配置文件 ‘tomcat_users.xml’。威胁人员对管理器 app 发动暴力攻击，猜测密码。”研究人员在所设置的一个 Tomcat 蜜罐中发现了一次攻击，而该服务器使用的是默认用户名和密码凭据。威胁人员在第三次登录尝试后猜测出正确密码，完全控制了该服务器。

Tomcat 的 web 应用管理器可使用户部署目录或 WAR 格式的归档文件，在 Java 平台上封装和部署 web 应用。该WAR文件中包含运行 web 应用的所有必需文件，从而有效管理 web 应用部署。

Yaakov 表示，威胁人员通过这一功能部署包含恶意 web shell 类 “cmd.jsp” 的 WAR 文件。她提到，“通过将管理器 app 作为攻击向量实施合法行动，可使威胁行动者伪造攻击，使其难以被检测到。Web shell 旨在监听服务器上的请求并执行命令，进而使威胁行动者在 Apache Tomcat 服务器上远程执行代码。”

第一个命令是下载 “neww” shell 脚本以执行 Mirai 僵尸网络变体。Yaakov 提到，“在我们的案例中，主机感染了该诶软件，而基于我们对之前攻击和研究的分析，威胁人员似乎基于该恶意软件执行更多攻击，从影响力相对低的攻击活动如挖矿到更严重的 DDoS 攻击等不一而足。”

她提到，攻击活动孩子持续，威胁人员继续修改并改进攻击以避免被检测到，“从负责下载 Mirai 恶意软件的 shell 脚本命名以及下载到受陷机器上的 Mirai恶意软件变体即可看出。”

虽然针对 Aqua 蜜罐服务器的803起攻击中大部分释放Mirai payload，但在少数案例中该 payload 是 Chaos 恶意软件的新版本。Yaakov 表示，Nautilus Tomcat 蜜罐的经理说明了正确配置和监控运行时环境的重要性，“我们观测到配置不当如何导致服务器遭攻击，从而使同一网络中的其它主机受感染。”她督促管理员和安全团队使用强密码并定期扫描环境中是否存在威胁。