利用CVE-2018-1000861漏洞来传播Kerberods挖矿机

栏目: 编程工具 · 发布时间: 5年前

研究人员发现攻击者利用2018年泄露的Jenkins (CVE-2018-1000861)漏洞来使用Kerberods释放器来传播加密货币挖矿机。

SANS专家Renato Marinho发现一个正在进行的恶意攻击活动,攻击目标是有漏洞的Apache Jenkins安装来传播名为Kerberods的Monero门罗币挖矿机。

SANS研究人员分析称,攻击者利用了Jenkins 服务器处理引擎的Stapler HTTP请求中的漏洞——CVE-2018-1000861。

Jenkins 是最流行的开源自动化服务器,由CloudBees和Jenkins社区维护。自动化服务器支持开发者构建、测试和实现其应用,全球约有100万用户安装使用。

其实该漏洞已于2018年12月由Jenkins开发团队修复,开发人员警告说:

·利用该漏洞,未经认证的用户开源使内置了Winstone-Jetty服务器的Jenkins的所有的会话无效;

· 有Overall/Read权限的用户可以在内存中创建心的用户对象;

· 有Overall/Read访问权限的用户可以周期性地执行AsyncPeriodicWork的应用。

安全人员5月8日公布了该漏洞的技术细节,具体可参见 https://www.andmp.com/2019/05/advisory-unpatched-url-address-bar-vulnerability-in-latest-versions-of-UC-browers.html 。攻击者可以利用该漏洞和其他漏洞组合进行远程代码执行。

Renato Marinho称CVE-2018-1000861的PoC已于2019年3月初公布。并且在蜜罐系统中发现了尝试利用Jenkins漏洞来传播Kerberods加密货币挖矿机的攻击活动。

Marinho根据蜜罐中的攻击活动,画出了攻击流图,如下图所示:

利用CVE-2018-1000861漏洞来传播Kerberods挖矿机

Kerberods释放期是用定制的UPX打包器版本打包的,会尝试获取root权限来隐藏自己并获取驻留。在分析了二进制文件后,研究人员发现使用的packer是一个定制的UPX版本,UPX是一款开源软件,有许多方法开源修改UPX来使其无法用普通的UPX版本解压。而UPX的定制也只是将UPX修改为UPX_MAGIC_LE32。将其恢复到二进制文件的不同部分中的UPX中,就可能用普通版本的UPX解压二进制文件。

在获取root权限后,Kerberods会加载一个库到操作系统中来hook Glibc的不同函数,作用类似rootkit。如果无法获取root权限,恶意软件就创建cron来确保驻留。

Kerberods会在受感染的系统中下载和执行门罗币加密货币挖矿机,它会使用本地SSH Key用作之后的攻击活动。恶意软件还会在互联网上搜索其他有漏洞的Jenkins服务器。


以上所述就是小编给大家介绍的《利用CVE-2018-1000861漏洞来传播Kerberods挖矿机》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

运营制胜

运营制胜

张恒 / 电子工业出版社 / 2016-10-1 / 65

《运营制胜——从零系统学运营构建用户增长引擎》主要从内容运营、用户运营、推广运营三个方向来介绍产品运营方面的知识。 其中内容运营主要介绍了内容生成的机制、内容方向设定、内容输出、内容生产引擎、内容推荐机制、数据如何驱动内容运营、内容运营的KPI 设定、建立内容库、内容的赢利模式。用户运营主要介绍了产品的冷启动、获得种子用户及早期用户、建立用户增长引擎、利用心理学引爆产品用户增长、增加用户活跃......一起来看看 《运营制胜》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具