E安全7月20日讯 部分恶意人士正在利用SambaCry漏洞在运行有旧版本Samba文件共享服务器的Linux设备上安装后门木马。

根据Trend Micro公司的专家们所言，其中大多数攻击活动皆指向网络附加存储（简称NAS）设备，部分此类设备确实安装有Samba服务器以实现不同操作系统之间的文件共享及互操作能力。

E安全百科：

Samba文件共享服务器是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件，以实现Linux与Windows系统间的文件共享。

早期网络想要在不同主机之间共享文件大多要用FTP协议来传输，但FTP协议仅能做到传输文件却不能直接修改对方主机的资料数据，很不方便。后来出现了NFS开源文件共享程序NFS，但这是一个能够将多台Linux的远程主机数据挂载到本地目录的服务，属于轻量级的文件共享服务，不支持Linux与 Windows系统间的文件共享。直到1991年大学生Tridgwell为了解决Linux与Windows系统之间共享文件的问题，便开发出了SMB协议与Samba服务程序。

被研究人员们称为SHELLBIND的恶意软件利用一项披露于2017年5月，名为SambaCry（亦称‘永恒之红’）的安全漏洞。

SambaCry，编号CVE-2017-07494，影响到过去七年以来发布的全部Samba软件版本，其中最低受影响版本为3.5.0。

就在Samba团队为其软件提供补丁并将安全漏洞细节信息公之于众的两周之后，有人开始利用SambaCry感染Linux服务器并向其中安装一款名为EternalMiner的加密货币采矿程序。

上个月，EternalMiner的散布活动仍在进行当中，不过Trend Micro公司今天发布了一份报告，指出SHELLBIND开始成为SambaCry漏洞利用当中的最新攻击载荷。

据研究人员所言，SHELLBIND是一款简单的后门木马，允许攻击者在受感染设备之上开启远程shell。

根据配置，该木马能够更改本地防火墙规则并打开TCP端口61422，这意味着攻击者可以借此接入受感染设备。

SHELLBIND则会通过端口80 ping通一台位于169.239.128.123（南非的IP地址）的服务器，借以通知攻击者已经有新设备被成功感染，攻击者则从服务器日志当中提取新IP，而后手动通过端口61422接入该受感染主机。

SHELLBIND的shell访问受到密码保护。该密码以硬编码形式嵌于该木马的代码当中，具体内容为“Q8pGZFS7N1MObJHf”。

相较于主要针对Linux服务器的EternalMiner，SHELLBIND的目标则更多指向NAS设备，但其也能够感染运行有其它漏泄Samba版本的物联网设备。

根据该恶意软件的特性以及针对性攻击的表现，目前基本可以断定，威胁操纵者正在窃取数据并很可能通过地下黑客论坛销售或要求受害者企业支付赎金以获利。

另外，这已经不是NAS设备受到影响的首次案例。

2017年，安全研究人员季诺菲克斯发现了数个能够影响西部数据多款MyCloud NAS设备的安全漏洞。

2016年9月，一款名为Mal/Miner-C的恶意软件变种（亦被称为PhotoMiner）成功感染了希捷NAS设备，并利用其进行加密货币Monero采矿。