20

利用Confluence最新漏洞传播的Linux挖矿病毒seasame

 5 years ago
source link: https://www.freebuf.com/articles/system/201853.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

一、现象描述

近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。

感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

i226Jrm.jpg!web

另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。

YjeeuyQ.jpg!web

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。

二、详细分析

2.1 母体脚本

一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑shell命令。

JnqIra6.jpg!web

根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:

vueeuaM.jpg!web

下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。

ABRJBvr.jpg!web

创建crontab定时任务:

Ybqau2V.jpg!web

创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:

immmyyE.jpg!web

删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。

yY3uUff.jpg!web

创建cloud_agent.service服务:

MVv2Uvm.jpg!web

cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:

jmieumy.jpg!web

将bash命令复制到当前目录,然后分别执行3个脚本。new_dog:守护挖矿进程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的进程;prot:杀掉包含“https://”、“http://”、“eval”的进程。

J7J7bey.jpg!web

2.2 挖矿程序

1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:

U7Vbum2.jpg!web

2.生成/temp/ec2a6文件,如下所示:

zuQzmeY.jpg!web

生成的文件,如下所示:

memyieU.jpg!web

3.生成/var/tmp/f41,如下所示:

BryYBjv.jpg!web

4.生成de33f4f911f20761,如下所示:

Rfe6bq2.jpg!web

生成的文件,如下所示:

EJbMvar.jpg!web

5.获取主机CPU信息,如下所示:

BruqEjE.jpg!web

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:

qyARnm6.jpg!web

7.然后拼接不同的端口号,组成相应的矿池地址,如下所示:

6Bn2miE.jpg!web

组合成的矿池地址列表,如下所示:

51.38.133.232:443
51.15.56.161:80
51.38.133.232:21
51.15.56.161:20
51.38.133.232:53
51.15.56.161:53
51.38.133.232:162
51.15.56.161:161
51.38.133.232:990
51.15.56.161:989
51.38.133.232:1111
51.15.56.161:1111
51.38.133.232:2222
51.15.56.161:2222
51.38.133.232:3333
51.15.56.161:3333
51.38.133.232:4444
51.15.56.161:4444
51.38.133.232:8181
51.15.56.161:8080
51.38.133.232:25200
51.15.56.161:25400

8.创建子进程,进行挖矿操作,如下所示:

iIFbInf.jpg!web

创建挖矿进程过程,如下所示:

Avu26fu.jpg!web

相应的进程信息,如下所示:

BFzMN3r.jpg!web

top进程信息,如下所示:

n2MbuiU.jpg!web

9.挖矿进程相关参数,如下所示:

3UNRNnV.jpg!web

捕获到的相应的流量数据包,如下所示:

6BFz2i3.jpg!web

挖矿相关流量数据包,如下所示:

qqeUjeJ.jpg!web

矿池IP地址为矿池地址列表中的:51.38.133.232:443

10.连接远程矿池地址,如下所示:

aEjmueR.jpg!web

请求连接51.15.56.161,如下所示:

RZRfmq6.jpg!web

获取到的流量数据,如下所示:

vy6N3ej.jpg!web

如果连接失败,则请求连接51.38.133.232,如下所示:

6viayyj.jpg!web

返回相应的数据,如下所示:

3qQNfyJ.jpg!web

获取到的流量数据,如下所示:

zi6rme6.jpg!web

拼接相应的内容,如下所示:

UVfIFva.jpg!web

然后将获取的内容,写入到/temp/yayscript.sh脚本中,并通过bash执行sh脚本,如下所示:

zayauem.jpg!web

yayscript.sh的内容,如下所示:

eMfqAf3.jpg!web

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供针对seasame病毒的专杀工具,可下载如下工具,进行检测查杀。

下载链接: http://edr.sangfor.com.cn/tool/clear_seasame.sh

aiMzQjq.jpg!web

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK