AESDDoS利用CVE-2019-3396进行远程代码执行、DDOS攻击和加密货币挖矿

ang010ela 漏洞 2019年5月4日发布
Favorite收藏

导语:​研究人员发现AESDDoS僵尸网络恶意软件变种利用cve-2019-3396漏洞进行远程代码执行、DDOS攻击和加密货币挖矿。

CVE-2019-3396是Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。

Trendmicro的蜜罐系统近期检测到AESDDoS僵尸网络恶意软件变种,该变种利用了Atlassian Confluence服务器中Widget Connector宏的CVE-2019-3396漏洞。研究人员发现该恶意软件变种可以在运行有漏洞Confluence服务器和数据中心的系统上可以执行DDOS攻击、远程代码执行和加密货币挖矿。Atlassian已经着手修改这些问题,并建议用户尽快升级到最新版本(6.15.1)。

image.png

表1  受影响的Atlassian Confluence服务器和数据最新版本以及建议修复版本

AESDDoS僵尸网络恶意软件变种

分析中,研究人员发现攻击者利用CVE-2019-3396漏洞来使机器感染AESDDoS僵尸网络恶意软件。还会远程执行shell命令来下载和执行恶意shell脚本(Trojan.SH.LODEX.J),该shell脚本会下载另外一个shell脚本最终在受影响的系统上安装AESDDOS僵尸网络恶意软件。

Figure 1. Code snippet of the abuse of CVE-2019-3396 via Trojan.SH.LODEX.J. The second line shows Trojan.SH.LODEX.J being downloaded from its C&C server while the third line shows the execution.

图1. 通过Trojan.SH.LODEX.J滥用CVE-2019-3396漏洞的代码段

上图中第2行表明从C2服务器下载Trojan.SH.LODEX.J,第3行表示执行下载的恶意shell脚本。

AESDDoS恶意软件变种可以启动不同类型的DDOS攻击,包括SYN, LSYN, UDP, UDPS, TCP洪泛攻击。恶意软件可以连接到23[.]224[.]59[.]34:48080来发送和接收来自攻击者的远程shell命令。

Figure 2. Code snippet of the AESDDoS variant connecting to 23[.]224[.]59[.]34:48080

图2. AESDDoS变种连接到23[.]224[.]59[.]34:48080的 代码段

 Figure 3. Code snippet of the AESDDoS variant executing remote shell commands

图3. AESDDoS变种执行远程shell命令的代码段

僵尸网络恶意软件变种也会从受感染的系统上窃取信息。获取系统的Model ID 、CPU描述、速度、品牌、型号和类型。

Figure 4. Code snippet showing the AESDDoS variant stealing an affected system’s CPU information

图4. AESDDoS变种窃取受感染系统CPU信息的代码段

窃取的系统信息和C2数据都会用AES算法加密,然后用AESDDoS变种的cmdshell函数来加载加密货币挖矿机。

除了以上功能外,AESDDoS还可以修改文件,比如/etc/rc.local 和/etc/rc.d/rc.local,通过在文件中加入{malware path}/{malware file name} reboot命令来完成自动重启的功能。

安全建议

对软件开发过程进行持续监控可以标记服务器、数据中心和其他计算环境的安全风险。对Atlassian Confluence服务器中存在的CVE-2019-3396漏洞的成功利用会将资源置于危险中,企业应该能够识别这些漏洞,使用最新的关于恶意软件和漏洞利用的威胁情报,来检测应用设计和底层基础设施产生的变化。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/aesddos-botnet-malware-exploits-cve-2019-3396-to-perform-remote-code-execution-ddos-attacks-and-cryptocurrency-mining/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/17731.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论