欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

提高警惕啊!利用Confluence最新漏洞传播的Linux挖矿病毒seasame

来源:本站整理 作者:佚名 时间:2019-04-25 TAG: 我要投稿

一、现象描述
近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。
感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。
二、详细分析
2.1 母体脚本
一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑shell命令。

根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:

下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。

创建crontab定时任务:

创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:

删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。

创建cloud_agent.service服务:

cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:

将bash命令复制到当前目录,然后分别执行3个脚本。new_dog:守护挖矿进程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的进程;prot:杀掉包含“https://”、“http://”、“eval”的进程。

2.2 挖矿程序
1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:

2.生成/temp/ec2a6文件,如下所示:
生成的文件,如下所示:

3.生成/var/tmp/f41,如下所示:

4.生成de33f4f911f20761,如下所示:
生成的文件,如下所示:

5.获取主机CPU信息,如下所示:

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载