事件的起因在于近期勒索軟件事件大量擴(kuò)散引起了思科安全研究人員的注意，后經(jīng)其安全研究人員調(diào)查分析發(fā)現(xiàn)，其中大量案例皆因攻擊者利用JBoss Java應(yīng)用平臺(tái)存在的漏洞，入侵企業(yè)服務(wù)器，并將勒索軟件散播至所有與服務(wù)器連接的客戶(hù)端上。

起因：SamSam勒索軟件的大肆擴(kuò)散

SamSam勒索軟件（也被稱(chēng)為Samas），該勒索軟件于今年3月中旬被微軟公司所發(fā)現(xiàn)。而在發(fā)現(xiàn)之時(shí)，F(xiàn)BI也對(duì)所有企業(yè)發(fā)出告警，關(guān)于該勒索軟件可利用JBoss上的漏洞對(duì)企業(yè)的IT基礎(chǔ)設(shè)備進(jìn)行感染，提醒企業(yè)用戶(hù)注意檢測(cè)及防護(hù)。

隨后，英特爾和思科，也雙雙發(fā)布報(bào)告和技術(shù)分析，剖析該勒索軟件作者的實(shí)現(xiàn)思路，而這顯然證實(shí)了微軟公司和FBI此前發(fā)現(xiàn)的可靠性。據(jù)分析，SamSam勒索軟件的操縱者正是利用公共機(jī)構(gòu)和私營(yíng)機(jī)構(gòu)中，運(yùn)行在服務(wù)器上的舊版本JBoss平臺(tái)的漏洞來(lái)實(shí)現(xiàn)入侵的。

深入調(diào)查分析，發(fā)現(xiàn)更多被感染的服務(wù)器

在經(jīng)過(guò)上述初步調(diào)查后，思科對(duì)JBoss平臺(tái)漏洞的存在率進(jìn)行了深入研究調(diào)查。

而從思科的研究表明，目前大約有320萬(wàn)Web服務(wù)器運(yùn)行的是未更新的JBoss版本。利用獲取到的部分利用后門(mén)后留下的文件，思科也可以?huà)呙璩鲞@320萬(wàn)臺(tái)服務(wù)器是否存在后門(mén)。

基于本次搜索，確認(rèn)了2100臺(tái)已經(jīng)被入侵的服務(wù)器，這些服務(wù)器運(yùn)行在1600個(gè)不同的IP上。一般來(lái)說(shuō)，如果在沒(méi)發(fā)現(xiàn)的情況下，這些服務(wù)器就只能等待勒索者傳遞勒索軟件payload，對(duì)其實(shí)施感染了。

從被入侵的服務(wù)器的情況來(lái)看，這些服務(wù)器大部分屬于學(xué)校、政府、航空公司等行業(yè)單位的。

其他后門(mén)也陸續(xù)被發(fā)現(xiàn)

除了文件被先前的SamSam勒索軟件所感染時(shí)利用的后門(mén)，研究人員稱(chēng)他們還發(fā)現(xiàn)了其他“知名”的后門(mén)程序，如”mela,” “shellinvoker,” “jbossinvoker,” “zecmd,” “cmd,” “genesis,” “sh3ll” and possibly “Inovkermngrt” 以及“jbot”等。以下為部分可疑后門(mén)文件列表，可供研究參考。

jbossass.jspjbossass_jsp.classshellinvoker.jspshellinvoker_jsp.classmela.jspmela_jsp.classzecmd.jspzecmd_jsp.classcmd.jspcmd_jsp.classwstats.jspwstats_jsp.classidssvc.jspidssvc_jsp.classiesvc.jspiesvc_jsp.class

這些后門(mén)的存在表明， SamSam勒索軟件背后的操縱者并不是唯一知道并利用JBoss平臺(tái)漏洞的攻擊者。

在發(fā)現(xiàn)這些威脅后，思科開(kāi)始通知受影響的各方。而在眾多的感染案例中，部分受影響的歸屬于學(xué)校的服務(wù)器上部署了由一家名為Fellot公司開(kāi)發(fā)的圖書(shū)館管理系統(tǒng)（該系統(tǒng)名為“Destiny”，命運(yùn)），用以對(duì)圖書(shū)館的資產(chǎn)進(jìn)行管理，而其中JBoss作為應(yīng)用平臺(tái)進(jìn)行支撐。在此次調(diào)查分析的過(guò)程中，思科得到了Fellot公司的大力支持，并與之一起完善解決方案。

據(jù)稱(chēng)，F(xiàn)ellot運(yùn)行著一個(gè)最令人印象深刻的修復(fù)系統(tǒng)，能夠修復(fù)他們從版本9到版本13.5的所有系統(tǒng)版本，為他們的用戶(hù)進(jìn)行升級(jí)，避免JBoss漏洞被利用，甚至在用戶(hù)的服務(wù)器上掃描跟“Destiny”系統(tǒng)無(wú)關(guān)聯(lián)的文件，有效發(fā)現(xiàn)并清除用戶(hù)服務(wù)器環(huán)境的可疑后門(mén)。

后門(mén)檢測(cè)及利用工具

為了對(duì)系統(tǒng)文件進(jìn)行檢測(cè)，審查是否存在后門(mén)。思科通過(guò)一款名為JexBoss的開(kāi)源滲透測(cè)試工具對(duì)后門(mén)的代碼進(jìn)行跟蹤。工具下載地址為：GitHub。

而后，隨著他們的發(fā)現(xiàn)，美國(guó)計(jì)算機(jī)安全應(yīng)急響應(yīng)中心US-CERT發(fā)出了一項(xiàng)全球咨詢(xún)建議，建議所有的應(yīng)用系統(tǒng)管理員及時(shí)檢查自身應(yīng)用服務(wù)器，查看是否存在 webshell。