Red Canary的最新报告揭露了一种名为DripDropper的Linux恶意软件，该恶意软件会利用漏洞，然后对其进行修补，以防止其他黑客入侵。了解此策略的工作原理。

网络安全公司Red Canary的一份新报告显示，黑客正在利用一个关键漏洞，然后对其进行修补，以阻止其他攻击者的攻击。Red Canary威胁情报团队提供的这份研究揭露了一种新的Linux恶意软件（该公司将其命名为DripDropper），并详细说明了攻击者如何利用它来获取并维持对云服务器的隐藏访问权限。

此次攻击始于利用Apache ActiveMQ中一个众所周知的安全漏洞CVE-2023-46604 。该漏洞存在于一款名为Apache ActiveMQ的广泛使用的软件中。该程序是一个“消息代理”，这是一个用来帮助不同计算机系统相互通信的工具的术语。尽管补丁已经发布一段时间了，但许多系统仍然存在漏洞，黑客正在利用这一漏洞获取初始访问权限。

研究人员指出：“尽管ActiveMQ中被利用的严重漏洞已有近三年历史，但攻击者仍在利用该漏洞执行Godzilla Webshell和Ransomhub勒索软件等有效载荷，根据其EPSS评分，该漏洞在未来30天内被利用的可能性高达94.44%。”

站稳脚跟后，黑客会安装两个主要工具。第一个是名为Sliver的恶意软件，该工具可以让他们秘密、不受限制地控制受感染的计算机。

然后，他们使用下载器(DripDropper)连接到攻击者控制的Dropbox帐户。该恶意软件是一个加密文件，需要密码才能运行，这使得安全分析师难以检查。

但攻击中最令人惊讶的部分还在后面。在建立控制权后，黑客使用常见的互联网命令下载了他们刚刚利用的漏洞的合法补丁。

通过修补系统，他们实际上关闭了曾经入侵的大门，阻止了其他犯罪分子利用同样的漏洞。这一巧妙举措确保了他们的控制权始终处于独家控制之下，并使防御者更难追踪到攻击的原始入口点。

为了确保长期访问，DripDropper恶意软件会修改系统文件，允许root登录并保持自身运行。该恶意软件还会释放第二个文件，其名称为随机的八个字符，并会联系攻击者的Dropbox获取进一步指令。

研究人员指出，使用Dropbox等公共平台是一种常见的策略，其他恶意软件家族（如CHIMNEYSWEEP、Mustang Panda和WhisperGate）也使用这种策略。

这些发现强调，干净的漏洞扫描并不总是意味着系统是安全的。扫描可能显示系统已修补，但无法揭示修补方式或修补者。这意味着需要采取多层安全措施，包括持续修补和仔细监控云日志。该报告还建议使用CISA的已知被利用漏洞(KEV)目录等资源，以帮助确定优先修复的漏洞。

KnowBe4数据驱动防御推广员Roger Grimes表示：“我不太清楚自动化恶意软件会修复其曾经入侵的漏洞，除了20世纪90年代的一次，当时两个计算机病毒组织利用同一个软件漏洞争夺全球控制权。不过，这些年来，我参与过一些咨询项目，其中人类黑客入侵并修复了漏洞。”

“我曾经在微软工作，受聘为一位客户提供咨询服务，这位客户对微软安装的补丁非常不满，而他们之前已经配置好了不安装的补丁。这个补丁在当时颇具争议（它禁用了微软Windows系统中当移动媒体插入电脑时默认的自动运行功能）。”他解释道。

很多客户对微软禁用自动运行功能感到愤怒，于是微软将补丁配置为在启用特定相关注册表项时不自动部署。结果，对于这位客户来说，补丁一直在应用。他们随后卸载了补丁，确保相关的注册表项已创建，第二天再回来时却发现补丁又重新应用了。天哪，他们气疯了。

我到达后，很快就发现一个黑客组织利用这个漏洞入侵了系统，他们正试图打补丁禁用自动运行功能，以阻止其他组织入侵。天哪，客户真是罪有应得啊。

我当时就说过，现在也还是要说，‘如果黑客比你打补丁的速度更快，那你就做错了！’这又一次证明了默认自动补丁无需管理员参与的必要性。我们又一次看到了多年后仍未修补的严重漏洞。这种情况太常见了，”罗杰补充道。