Mirai蠕虫变种借ThinkPHP漏洞传播 腾讯安全“御界”全面检测

　　近期，腾讯安全御见威胁情报中心监测到某教育科技机构服务器遭到ThinkPHP V5* 远程代码执行漏洞攻击。经分析，病毒作者主要参考Mirai和Gafgyt源代码的变种病毒，直接开发Mirai蠕虫病毒的两个版本，分别针对PC服务器和物联网等智能设备发起攻击。一般中毒后的系统会成为僵尸网络的一部分，受不法黑客控制向目标计算机发起DDoS攻击，以此获取经济报酬。

　　攻击爆发之后，腾讯御界高级威胁检测系统第一时间通过对企业内外网边界处网络流量分析，成功感知漏洞的利用和攻击。据了解，腾讯“御界”是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出独特的威胁情报和恶意检测模型系统，可帮助企业用户及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，全面保护企业网络安全。

　　(图：腾讯御界高级威胁检测系统)

　　事实上，早在去年12月9日，ThinkPHP官方发布安全更新，公布了远程命令执行的高危漏洞(CNVD-2018-24942)。不法黑客利用此漏洞可以批量入侵企业网站，直接影响网站服务器ThinkPHP 5.0.23以下版本。由于此次中毒科技教育机构的网站服务器采用ThinkPHP版本为5.1.30，属于受影响版本范围。

　　(图：ThinkPHP 5.1.30版本)

　　作为一个整体开发解决方案，ThinkPHP支持windows、Unix、Linux等服务器环境，以及支持MySql、PgSQL、Sqlite多种数据库和PDO扩展，主要服务简化企业级应用开发和敏捷WEB应用开发者。自2006年初诞生以来，ThinkPHP秉承简洁实用的设计原则，受到众多开发者的热捧。根据国家信息安全漏洞共享平台探测数据，全球使用ThinkPHP框架的服务器规模共计有4.3万台，其中，中国、美国和加拿大位居前三。

　　据腾讯安全技术专家介绍，Mirai病毒最早出现在2016年，通过感染可访问网络的消费级电子设备，以达到组建僵尸网络进行大规模网络攻击的目的。尽管当前开发Mirai病毒作者已经落网，但Mirai的源代码以开源的形式已发布至各大黑客论坛，其中的技术也已被一些恶意软件采用，导致其危害仍在延续扩散。截至目前，Mirai构建的僵尸网络已经参与了几次影响广泛的DDoS攻击，包括2016年9月20日针对计算机安全撰稿人布莱恩·克莱布斯个人网站的攻击、对法国网站托管商OVH的攻击，以及2016年10月Dyn公司网络攻击事件。

　　在国内，腾讯安全御见威胁情报中心对Mirai病毒进行持续监测，曾于去年12月28日发现其利用SQL Server弱密码进行暴力入侵的病毒攻击事件，被入侵的服务器被安装暗云感染器、Mykings木马、以及Mirai病毒变种。值得一提的是，该Mirai变种具有针对闭路电视物联网设备漏洞进行攻击的能力，而此次发现的变种将最新ThinkPHP高危漏洞、多种路由器漏洞、upnp设备漏洞进行组合攻击，感染能力再次增强。

　　此外，腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业用户，务必提高网络安全防范意识，建议尽快更新ThinkPHP到最新版本。同时推荐使用腾讯御界高级威胁检测系统，可有效检测此类漏洞入侵攻击。