一、概述

騰訊主機(jī)安全（云鏡）捕獲YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞在野利用，該攻擊正在擴(kuò)散。受YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞影響，從7月第1周開始，未部署任何安全防護(hù)系統(tǒng)的失陷云主機(jī)數(shù)已達(dá)數(shù)千臺(tái)。先后出現(xiàn)兩次失陷高峰，一次在7月3號，一次在7月7號。BillGates僵尸網(wǎng)絡(luò)在7月1日首先發(fā)起攻擊，7月4日Mirai僵尸網(wǎng)絡(luò)木馬攻擊的規(guī)模更大，已部署騰訊云防火墻的云主機(jī)成功防御此輪攻擊。

BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬為存在多年十分活躍的僵尸網(wǎng)絡(luò)家族，這兩個(gè)僵尸網(wǎng)絡(luò)家族多用高危漏洞利用做為入侵手段，騰訊安全研究人員發(fā)現(xiàn)這兩個(gè)團(tuán)伙正在利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起攻擊，目前該漏洞暫無補(bǔ)丁，處于0day狀態(tài)。

YAPI接口管理平臺(tái)是國內(nèi)某旅行網(wǎng)站的大前端技術(shù)中心開源項(xiàng)目，使用mock數(shù)據(jù)/腳本作為中間交互層，為前端后臺(tái)開發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù)，該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。騰訊安全網(wǎng)絡(luò)空間測繪數(shù)據(jù)顯示，國內(nèi)采用YAPI接口管理平臺(tái)的服務(wù)器上萬臺(tái)，主要分布于浙江、北京、上海、廣東等省市（占比超過80%）。

因YAPI遠(yuǎn)程代碼執(zhí)行0day漏洞暫無補(bǔ)丁，BillGates僵尸網(wǎng)絡(luò)與Mirai僵尸網(wǎng)絡(luò)木馬家族主要利用受控主機(jī)進(jìn)行DDoS攻擊、留置后門或進(jìn)行挖礦作業(yè)。騰訊安全專家建議采用YAPI接口管理平臺(tái)的政企機(jī)構(gòu)盡快采取以下措施緩解漏洞風(fēng)險(xiǎn)：

部署騰訊云防火墻實(shí)時(shí)攔截威脅；

關(guān)閉Y

API

用戶注冊功能，以阻斷攻擊者注冊；

刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本；

刪除惡意mock腳本，防止再被訪問觸發(fā)；

服務(wù)器回滾快照，可清除利用漏洞植入的后門。

騰訊安全威脅情報(bào)系統(tǒng)已支持自動(dòng)化輸出告警事件詳細(xì)分析報(bào)告，方便安全運(yùn)維人員獲得更豐富的情報(bào)信息，以便對告警事件進(jìn)行回溯處置。

騰訊安全旗下全系列產(chǎn)品已經(jīng)支持對YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞的利用進(jìn)行檢測防御：

二、騰訊安全解決方案

BillGates家族與Mirai家族相關(guān)威脅數(shù)據(jù)已加入騰訊安全威脅情報(bào)，賦能給騰訊全系列安全產(chǎn)品，企業(yè)客戶通過訂閱騰訊安全威脅情報(bào)產(chǎn)品，可以讓全網(wǎng)所有安全設(shè)備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。

騰訊安全威脅情報(bào)中心檢測到利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動(dòng)已影響數(shù)千臺(tái)未部署任何安全防護(hù)產(chǎn)品的云主機(jī)，騰訊安全專家建議政企機(jī)構(gòu)公有云系統(tǒng)部署騰訊云防火墻、騰訊主機(jī)安全（云鏡）等產(chǎn)品檢測防御相關(guān)威脅。

騰訊云防火墻支持檢測攔截利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的攻擊活動(dòng)。騰訊云防火墻內(nèi)置虛擬補(bǔ)丁防御機(jī)制，可積極防御某些高危且使用率很高的漏洞利用。

已部署騰訊主機(jī)安全（云鏡）的企業(yè)客戶可以通過高危命令監(jiān)控發(fā)現(xiàn)，騰訊主機(jī)安全（云鏡）可對攻擊過程中產(chǎn)生得木馬落地文件進(jìn)行自動(dòng)檢測，客戶可登錄騰訊云->主機(jī)安全控制臺(tái)，檢查病毒木馬告警信息，將惡意木馬一鍵隔離或刪除。客戶可通過騰訊主機(jī)安全的漏洞管理、基線管理功能對網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全漏洞檢測和弱口令檢測。

私有云客戶可通過旁路部署騰訊高級威脅檢測系統(tǒng)（NTA、御界）進(jìn)行流量檢測分析，及時(shí)發(fā)現(xiàn)黑客團(tuán)伙利用漏洞對企業(yè)私有云的攻擊活動(dòng)。騰訊高級威脅檢測系統(tǒng)（NTA、御界）可檢測到利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞發(fā)起的惡意攻擊活動(dòng)。

企業(yè)客戶可通過旁路部署騰訊天幕（NIPS）實(shí)時(shí)攔截利用YAPI接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞的網(wǎng)絡(luò)通信連接，徹底封堵攻擊流量。騰訊天幕（NIPS）基于騰訊自研安全算力算法PaaS優(yōu)勢，形成具備萬億級海量樣本、毫秒級響應(yīng)、自動(dòng)智能、安全可視化等能力的網(wǎng)絡(luò)邊界協(xié)同防護(hù)體系。

三、YAPI接口管理平臺(tái)0day漏洞分析

YAPI接口管理平臺(tái)是某互聯(lián)網(wǎng)企業(yè)大前端技術(shù)中心開源項(xiàng)目，使用mock數(shù)據(jù)/腳本作為中間交互層，為前端后臺(tái)開發(fā)與測試人員提供更優(yōu)雅的接口管理服務(wù)。該平臺(tái)被國內(nèi)眾多知名互聯(lián)網(wǎng)企業(yè)所采用。

其中mock數(shù)據(jù)通過設(shè)定固定數(shù)據(jù)返回固定內(nèi)容，對于需要根據(jù)用戶請求定制化響應(yīng)內(nèi)容的情況mock腳本通過寫JS腳本的方式處理用戶請求參數(shù)返回定制化內(nèi)容，本次漏洞就是發(fā)生在mock腳本服務(wù)上。

由于mock腳本自定義服務(wù)未對JS腳本加以命令過濾，用戶可以添加任何請求處理腳本，因此可以在腳本中植入命令，等用戶訪問接口發(fā)起請求時(shí)觸發(fā)命令執(zhí)行。

該漏洞暫無補(bǔ)丁，建議受影響的企業(yè)參考以下方案緩解風(fēng)險(xiǎn)：

部署騰訊云防火墻實(shí)時(shí)攔截威脅；

關(guān)閉Y

API

用戶注冊功能，以阻斷攻擊者注冊；

刪除惡意已注冊用戶，避免攻擊者再次添加mock腳本；

刪除惡意mock腳本，防止再被訪問觸發(fā)；

服務(wù)器回滾快照，可清除利用漏洞植入的后門。

四、詳細(xì)分析

攻擊腳本

攻擊者首先注冊功能先注冊賬號，登錄賬號后才能自定義mock腳本。

攻擊者通過mock腳本中植入惡意命令，待用戶訪問mock接口發(fā)起請求時(shí)觸發(fā)命令執(zhí)行。

木馬文件

7.1號以來主機(jī)側(cè)累計(jì)利用該漏洞捕獲到的木馬文件：

木馬文件詳細(xì)信息：

本次攻擊投遞的木馬文件未發(fā)現(xiàn)新變種，但漏洞利用速度極快7.2號出現(xiàn)攻擊事件之后，短短一周已有上千臺(tái)主機(jī)失陷，目前官方尚無補(bǔ)丁可用，受影響的客戶需要在主機(jī)側(cè)關(guān)閉用戶注冊與腳本添加權(quán)限，已失陷主機(jī)需盡快回滾服務(wù)器快照。

BillGates僵尸網(wǎng)絡(luò)木馬及Mirai僵尸網(wǎng)絡(luò)木馬和以往的版本并無差異，這里不再贅述。

威脅視角看攻擊行為

IOCs

MD5

c303c2fff08565b7977afccb762e2072

56b157ffd5a4b8b26d472395c8d2f7dc

3b904f9bc4f8f504598127ed702c3e1e

URL：

hxxp://2w.kacdn.cn/20000

hxxp://117.24.13.169:881/KaBot

hxxp://117.24.13.169:118/2771

hxxp://117.24.13.169:664/botmm/x86_64

hxxp://66.42.103.186/hang/x86_64

hxxp://27.50.49.61:1231/X64