智云盾捕获多个僵尸网络利用最新ConfluenceRCE漏洞的活动
一、背景
8月25日,Atlassian官方发布公告,公布了一个最新的远程代码执行漏洞,多个版本Confluence服务存在漏洞。9月7日,智云盾威胁中心检测到BillGates、Muhstik僵尸网络利用该漏洞的多个攻击活动。智云盾威胁中心建议Confluence用户尽快采取安全措施避免被利用攻击。
漏洞时间线:
图1 漏洞时间线
8月25日,Atlassian官方发布安全公告,披露了Confluence远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可以远程任意代码执行;
8月25日,智云盾开始监控僵尸网络的威胁IP:79.172.212.132;
9月1日,首个漏洞POC在Github公开;
9月7日,智云盾威胁中心发现威胁IP:79.172.212.132对观测节点发起漏洞扫描;
9月7日,智云盾监测到Muhstik僵尸网络利用该漏洞的攻击;
9月14日,智云盾监测到僵尸网络BillGates使用该漏洞进行僵尸网络恶意文件投递;
9月16日,智云盾监测到僵尸网络BillGates使用该漏洞对某公司官网进行DDoS攻击;
二、漏洞利用流程
图2 漏洞利用流程图
三、样本分析
智云盾威胁检测中心主要捕获到的是BillGates和Muhstik僵尸网络利用CVE-2021-26084漏洞的攻击,我们对两个僵尸网络的样本做了详细分析,下面是对Muhstik的分析过程:
1、9月7日,智云盾在多个节点都捕获到了Muhstik僵尸网络的payload,Muhstik通过漏洞分发恶意样本,会从两个恶意样本服务器149.28.85.17、194.31.52.174上下载conf2脚本,下面是payload详情:
图3 利用ConfluenceRE漏洞的payload
2、Muhstik僵尸网络样本在被攻击服务器上执行conf2脚本,下载二进制文件dk86和两个脚本文件(m8、ldm),随后的分析中我们发现dk86文件中包含多个僵尸网络功能,m8和ldm脚本均为该僵尸网络的横向感染脚本。下面是从conf2脚本文件中下载文件的shell脚本
图4 conf2脚本内的下载指令
3、我们下载了dk86程序,经过逆向分析后,发现它的通过连接到C2来接收指令,从而实现以下几个功能:下载文件、端口扫描、暴力破解和DDoS、CC攻击,下图展示了dk86程序中的函数:
图5 dk86程序中的函数
4、我们下载ldm和m8脚本,进行详细分析,分析发现这是Muhstik僵尸网络的横向传播脚本,下面展示了横向传播的详细过程,主要包括以下四个步骤:
A启用root权限,并修改rm、curl、wget等命令的名称
图6 修改系统命令
B写入主控端的ssh公钥,修改ssh配置,并杀死其他挖矿程序,释放系统资源
图7 修改ssh配置并杀死挖矿程序
C遍历主机上的用户,通过查看系统各文件来枚举ssh密钥
图8 查询可远程登录的ssh用户
D通过ssh远程命令从ip:34.221.40.237上执行下载名称包含pty的Muhstik僵尸网络的主程序和横向感染程序ldm,该pty程序确定为二进制文件IRC bot,支持多平台包括ARM、MIPS、x64和x86。主要功能包括发起DDoS攻击,以及暴力破解和端口扫描等功能。
图9 通过ssh远程命令横向感染主机
四、沙箱流量分析
我们在对两个样本进行分析时,BillGates僵尸网络的木马程序正在对外进行DDoS攻击,我们抓包分析出入向流行,分析流量发现以下几个行为:端口扫描、与C&C域名通信和对外发送udp小包攻击,下面为实际捕获的流量:
1、木马程序对大量ip进行syn扫描:
图10 木马程序SYN扫描
2、僵尸网络使用的C&C域名:300gsyn.it,域名解析IP地址为155.94.178.138(美国 加州)
图11 木马程序与C&C域名通信
3、木马程序对外发送udp小包攻击:
图12 对外发送UDP小包攻击
五、总结
CVE-2021-26084漏洞自披露以来,已经被多个黑客团伙纳入其武器包,试图通过互联网上存在漏洞的Confluence服务器来传播僵尸网络。通常来说漏洞越新,往往越容易利用成功,近期利用该漏洞传播的活动频发,正说明黑客团伙也在时刻关注新型漏洞。
六、处置建议
1、使用Confluence用户和企业,关注官方公告获得最新漏洞补丁和配置更新
2、对于感染了僵尸网络的恶意程序,参考以下方式修复系统:
a、修复系统命令,上传如下命令到/root下:lsattr、chattr、ps、netstat、ss、lsof
b、删除如下目录及文件:
/root/conf.n
/root/cmd.n
/root/moni.lod
/etc/rc.d/*rc*
c、使用top命令找到cpu利用率特高的恶意程序进程号并杀死
相关IOC信息:
149.28.85[.]17(美国)
194.31.52[.]174(罗马尼亚)
34.221.40[.]237(美国 )
153.121.58[.]102(日本 )
18.235.127[.]50(美国)
http://3.10.224.87/[.a]/dk86
http://149.28.85.17/[c]onf2
http://153.121.58.102:80/wp-content/[themes]/zuki/m8
http://18.235.127.50/[l]dm
http://34.221.40.237/.x/[1]sh
http://34.221.40.237/.x/[p]ty1
http://157.230.189.52/wp-content/themes/twentynineteen/[l]dm
智云盾捕获多个僵尸网络利用最新ConfluenceRCE漏洞的活动相关推荐
- web漏洞 云盾_云盾WAF实现虚拟补丁——记一起Web漏洞应急响应
原标题:云盾WAF实现虚拟补丁--记一起Web漏洞应急响应 来自真实案例的虚拟总结.见招拆招,而且还得以最快的速度完成,云盾WAF扛得起! 忧伤的周六早晨 "云盾.先知"的渗透测试 ...
- 漏洞:阿里云盾phpMyAdmin =4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL
阿里云盾提示phpMyAdmin <=4.8.1会出现漏洞有被SHELL风险,具体漏洞提醒: 标题 phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导 ...
- “智云大咖秀”:大咖摄影师谈惊艳亮相的“大咖级”设备
古人云,善书者不择笔. 古人又云,工欲善其事必先利其器. 古人很矛盾. 这两句话如果用在影像创作这个领域,可以说都有道理:没有好的设备,创意大师一样能够拍出足够惊艳的作品:有足够强的设备,但是头脑中创 ...
- 亿级用户唱吧的安全实战分享:如何利用云盾顶住100GB流量的DDoS攻击?
利用大数据.机器学习技术来应对日益猖獗的安全挑战已经成为当前IT从业者的共识,而驯服大数据需要一定的技术和人才,不过云计算降低了这个门槛. 唱吧技术负责人马星显日前接受CSDN记者的采访,针对安全技术 ...
- 大数据周周看:汽车之家发布大数据产品“车智云”,中国数据中心标准联盟正式在京成立
中国数据中心标准联盟宣布正式成立:汽车之家发布针对车企管理层的大数据产品"车智云":人工智能创企码隆科技获2.2亿元融资--以下为您奉上更多大数据热点事件 编辑 | abby 官网 ...
- 深智云 让企业在物联网时代实现数据价值
全球的数据储量仅在2011就达到1.8ZB(或1.8万亿GB),2015年全球大数据储量达到8.61ZB.而今后十年,用于存储数据的全球服务器总量还将增长十倍.大数据吸引了越来越多的关注,如果说前几年 ...
- 新华智云基于MaxCompute建设媒体大数据开放平台
摘要:随着自媒体的发展,传统媒体面临着巨大的压力和挑战,新华智云运用大数据和人工智能技术,致力于为媒体行业赋能.通过媒体大数据开放平台,将媒体行业全网数据汇总起来,借助平台数据处理能力和算法能力,将有 ...
- 智云通CRM:如何与客户建立信任关系?
与客户建立信任包含三步:善意动机+拥有能力+持续稳定,接下来智云通CRM逐一向您介绍. 第一步:向客户传递你的"善意动机" 理清底层逻辑之后,我们在跟客户沟通的时候,完全可以按照这 ...
- “相信美好,即将发生”——天泽智云
国家专精特新"小巨人"企业.60+项行业相关发明专利.29项工业人工智能相关软件著作权.在册商标85件.参与1项国际标准和5项国家标准的编制工作.参与承担多个国家重大专项.荣获多个 ...
最新文章
- 模型不work怎么办?141页PPT告诉你怎么改模型
- 2G---5G与未来天线技术
- MultipartResolver实现文件上传功能
- Swift3.0语言教程组合字符串
- linux hrtimer 绑定cpu,Linux hrtimer分析--未配置高精度模式
- MongoDB基本概念学习 - 文档
- 吴恩达 coursera ML 第十二课总结+作业答案
- ubuntu21.04中文冒号变乱码问题解决
- eltree ref什么时候有_DBA:为什么你老写慢SQL
- MongoDB分组查询,聚合查询,以及复杂查询
- AT3945-[ARC092D]Two Faced Edges【dfs】
- 学习《深度学习入门:基于Python的理论与实现》高清中文版PDF+源代码
- Windows 键盘快捷键 : Windows 快捷键
- 谷歌称已实现量子霸权;iOS 捷径功能被诉侵权;Chrome 78 Beta 发布 | 极客头条
- wcf中如何Host多个WCF服务?
- UILabel的相关属性设置
- .Net remoting, Webservice,WCF,Socket区别
- java常见基础面试题
- 软考高级 真题 2017年上半年 信息系统项目管理师 综合知识
- 软件测试需要学习哪些技能?