部分惡意人士正在利用SambaCry漏洞在運行有舊版本Samba文件共享服務器的Linux設備上安裝后門木馬。

根據Trend Micro公司的專家們所言，其中大多數攻擊活動皆指向網絡附加存儲（簡稱NAS）設備，部分此類設備確實安裝有Samba服務器以實現不同操作系統之間的文件共享及互操作能力。

　　E安全百科：

Samba文件共享服務器是一款基于SMB協議并由服務端和客戶端組成的開源文件共享軟件，以實現Linux與Windows系統間的文件共享。

早期網絡想要在不同主機之間共享文件大多要用FTP協議來傳輸，但FTP協議僅能做到傳輸文件卻不能直接修改對方主機的資料數據，很不方便。后來出現了NFS開源文件共享程序NFS，但這是一個能夠將多臺Linux的遠程主機數據掛載到本地目錄的服務，屬于輕量級的文件共享服務，不支持Linux與 Windows系統間的文件共享。直到1991年大學生Tridgwell為了解決Linux與Windows系統之間共享文件的問題，便開發出了SMB協議與Samba服務程序。

被研究人員們稱為SHELLBIND的惡意軟件利用一項披露于2017年5月，名為SambaCry（亦稱‘永恒之紅’）的安全漏洞。

SambaCry，編號CVE-2017-7494，影響到過去七年以來發布的全部Samba軟件版本，其中最低受影響版本為3.5.0。

就在Samba團隊為其軟件提供補丁并將安全漏洞細節信息公之于眾的兩周之后，有人開始利用SambaCry感染Linux服務器并向其中安裝一款名為EternalMiner的加密貨幣采礦程序。

上個月，EternalMiner的散布活動仍在進行當中，不過Trend Micro公司今天發布了一份報告，指出SHELLBIND開始成為SambaCry漏洞利用當中的最新攻擊載荷。

據研究人員所言，SHELLBIND是一款簡單的后門木馬，允許攻擊者在受感染設備之上開啟遠程shell。

根據配置，該木馬能夠更改本地防火墻規則并打開TCP端口61422，這意味著攻擊者可以借此接入受感染設備。

SHELLBIND則會通過端口80 ping通一臺位于169.239.128.123（南非的IP地址）的服務器，借以通知攻擊者已經有新設備被成功感染，攻擊者則從服務器日志當中提取新IP，而后手動通過端口61422接入該受感染主機。

SHELLBIND的shell訪問受到密碼保護。該密碼以硬編碼形式嵌于該木馬的代碼當中，具體內容為“Q8pGZFS7N1MObJHf”。

相較于主要針對Linux服務器的EternalMiner，SHELLBIND的目標則更多指向NAS設備，但其也能夠感染運行有其它漏泄Samba版本的物聯網設備。

根據該惡意軟件的特性以及針對性攻擊的表現，目前基本可以斷定，威脅操縱者正在竊取數據并很可能通過地下黑客論壇銷售或要求受害者企業支付贖金以獲利。

另外，這已經不是NAS設備受到影響的首次案例。

2017年，安全研究人員季諾菲克斯發現了數個能夠影響西部數據多款MyCloud NAS設備的安全漏洞。

2016年9月，一款名為Mal/Miner-C的惡意軟件變種（亦被稱為PhotoMiner）成功感染了希捷NAS設備，并利用其進行加密貨幣Monero采礦。