简介
4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。
Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。本次遭到利用的漏洞,在Confluence产品官 3月20日的Security Advisory中被最初提及,其Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行。
从4月8日国内安全研究员根据patch点写出poc并发布,到4月10日大规模蠕虫攻击爆发,中间只隔了短短两天,再次对云平台及用户的快速响应能力构成严峻考验。
蠕虫传播分析
随后,攻击者将payload中加粗的url部分替换为https://pastebin.com/raw/cHWdCAw2后,再次对同一台主机发送,执行了以下url中存放的内容:
综上可知,实际的恶意脚本位置在 https://pastebin.com/raw/xmxHzu5P,判断受害主机架构后,依次尝试使用curl和wget下载恶意程序
解压后程序结构如下图,标红部分为攻击传播的蠕虫模块,标蓝部分为在主机上进行持久化的模块,标黄部分则是挖矿模块。
3.对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。
IOC
url:
https://pastebin.com/raw/UpJbVRuE
https://pastebin.com/raw/cHWdCAw2
https://pastebin.com/raw/v5xc0bjh
矿池:
systemtem.org:51640
恶意程序:
Reference
- https://jira.atlassian.com/browse/CONFSERVER-57974
- https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
- https://paper.seebug.org/884/
- https://help.aliyun.com/knowledge_detail/114168.html
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8587 人正在系统学习中 相关资源:PHP寄生虫繁殖劫持程序V3.0_寄生虫程序-PHP代码类资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!