Gitlab遠端代碼執行漏洞(CVE-2021-22205)在野利用,8220挖礦團夥最新變種分析

概述

近日，阿裡雲安全監測到Gitlab遠端代碼執行(CVE-2021-22205)在野利用，其團夥不僅利用4層協定服務進行入侵，還內建了使用比較廣的Web RCE漏洞，最終通過持久化方式進行挖礦、木馬後門維持，對使用者主機資源、資産産生不良危害，通過攻擊手法、檔案命名自動确認為8220挖礦團夥最新變種。

阿裡雲安全持續對最新變種進行監控，發現至10月21日後傳播有所上升，11月4日發現利用Gitlab遠端代碼漏洞進行入侵，提醒廣大企業客戶注意防護。

傳播手段

8220挖礦團夥最新變種通過多種漏洞進行入侵和傳播，利用xms、xms.ps1等腳本下載下傳挖礦木馬并執行，通過cron.d、crontab等進行持久化，通過不同方式收集key、host、user進行對外傳播、橫向移動。

階段分析

漏洞利用分析

Gitlab遠端代碼執行漏洞早在2021年4月14日GitLab官方釋出的安全更新中修複，利用細節未公布影響面較小，随着近期利用PoC的公布，伴随網際網路中仍有大量老版本未做更新，團夥批量入侵已經造成了較大影響。

Gitlab由于存在未授權端點，故未授權情況下可進行通路，漏洞原因為Gitlab ExifTool沒有對傳入的圖檔擴充名進行安全處理，黑客團夥通過構造特定的圖檔上傳伺服器即可在遠端進行指令執行。8220挖礦團夥變種最新內建Gitlab遠端代碼執行漏洞(CVE-2021-22205)進行入侵，其Payload如下

除了內建影響面較大的漏洞，變種亦利用多種流行RCE漏洞進行傳播以牟取最大利益，通過雲端大資料監控，已知的漏洞利用有

詳細分析

8220挖礦團夥最新變種通過上述多種方式入侵主機後會做持久化和對外傳播操作，具體分析如下。

Linux平台

scan.sh分析

利用scan2對外進行22端口掃描并儲存結果到/tmp/ssh\_vulnnew.txt檔案中，而後篩選過濾至/tmp/ips\_check檔案，最終調用hxx進行SSH掃描和暴力破解登入，成功後下載下傳xms并執行。

scan.sh會調用弱密碼簿，其中pas存儲了5848個弱賬号密碼，pas2存儲了10490個弱賬号密碼。

xms分析

xms為bash腳本，主機被入侵後會進行下載下傳并執行。腳本會對已知挖礦木馬進行解除安裝、解除安裝EDR終端、寫crontab持久化、橫向移動等操作，并最終執行挖礦木馬。

如圖xms會判斷是否已經進行礦池通信，如果沒有則下載下傳xmrig挖礦程式并儲存dbused檔案名且執行。

xms亦通過下載下傳對應版本Tsunami僵屍程式到本地并命名bashirc。

對應的Tsunami僵屍網絡可以通過IRC協定對殭屍電腦進行控制，并對外發起UDP、HTTP類型的DDoS攻擊。

通過查找主機中存儲的ssh秘鑰、曆史記錄、配置檔案等進行橫向移動。

Windows平台

powershell腳本檔案比較簡單，結束本地特定端口的程序，而後通過下載下傳二進制進行挖礦。

xms.ps1分析

通過netstat周遊程序中對外3333、4444、5555、7777、、9000連接配接的程序，然後通過Stop-Process結束程序。

遠端下載下傳wxm.exe并儲存本地檔案名，然後連接配接礦池194.5.249.24、198.23.214.117并進行挖礦。

安全建議

1）Gitlab遠端代碼執行漏洞(CVE-2021-22205)修複，可通過終端指令檢視版本

cat /opt/gitlab/embedded/service/gitlab-rails/VERSION           

目前受影響版本如下

11.9 <= Gitlab CE/EE < 13.8.8
13.9 <= Gitlab CE/EE < 13.9.6
13.10 <= Gitlab CE/EE < 13.10.3           

如果目前版本屬于上述範圍，可通過該連結(

https://about.gitlab.com/update/

)進行更新

2）雲防火牆利用大資料對網際網路上最新出現RCE進行實時監控，從RCE披露到響應時間整體小于3小時，能夠有效阻止客戶資産被RCE漏洞攻擊，其支援3-7層協定不僅滿足對Web網站的HTTP協定的防護，同時支援4層大量TCP/UDP協定的防禦。目前雲防火牆預設支援對8220挖礦團夥最新變種多種遠端指令執行漏洞的防禦。

3）雲防火牆智能政策依據曆史流量自學習，提供符合客戶業務暴露面收斂的最佳實踐，通過“一鍵下發”或“自主選擇”可以實作資産的最大程度的網際網路暴露收斂，避免端口對外不當暴露風險，同時有效阻止“重保模式”下網絡空間測繪的掃描行為。

IOC

IP

194.38.20.31

Domain

a.oracleservice.top

bash.givemexyz.in

c4k-irc.pwndns.pw

pwn.givemexyz.in

URL

http://194.38.20.31/pas2 http://194.38.20.31/redis.sh http://194.38.20.31/load.sh http://194.38.20.31/i686 http://194.38.20.31/eii.py http://194.38.20.31/bashirc.i686 http://194.38.20.31/banner http://194.38.20.31/sshpass http://194.38.20.31/sshexec http://194.38.20.31/scan2 http://194.38.20.31/lan.tar.gz http://194.38.20.31/xms?git http://194.38.20.31/masscan http://194.38.20.31/hxx http://194.38.20.31/ei.py http://194.38.20.31/eee.py http://194.38.20.31/scan.sh http://194.38.20.31/scan http://194.38.20.31/pas http://194.38.20.31/nbminer.tar.gz http://194.38.20.31/d.py http://194.38.20.31/bashirc.x86

\_64

http://194.38.20.31/xms.ps1 http://194.38.20.31/oracleservice.exe http://194.38.20.31/mywindows.exe http://194.38.20.31/wxm.exe