智雲盾捕獲多個殭屍網絡利用最新ConfluenceRCE漏洞的活動

一、背景

8月25日，Atlassian官方發佈公告，公佈了一個最新的遠程代碼執行漏洞，多個版本Confluence服務存在漏洞。9月7日，智雲盾威脅中心檢測到BillGates、Muhstik殭屍網絡利用該漏洞的多個攻擊活動。智雲盾威脅中心建議Confluence用戶儘快採取安全措施避免被利用攻擊。

漏洞時間線：

圖1 漏洞時間線

• 8月25日，Atlassian官方發佈安全公告，披露了Confluence遠程代碼執行漏洞（CVE-2021-26084）,攻擊者利用漏洞可以遠程任意代碼執行；

• 8月25日，智雲盾開始監控殭屍網絡的威脅IP：79.172.212.132；

• 9月1日，首個漏洞POC在Github公開；

• 9月7日，智雲盾威脅中心發現威脅IP：79.172.212.132對觀測節點發起漏洞掃描；

• 9月7日，智雲盾監測到Muhstik殭屍網絡利用該漏洞的攻擊；

• 9月14日，智雲盾監測到殭屍網絡BillGates使用該漏洞進行殭屍網絡惡意文件投遞；

• 9月16日，智雲盾監測到殭屍網絡BillGates使用該漏洞對某公司官網進行DDoS攻擊；

二、漏洞利用流程

圖2 漏洞利用流程圖

三、樣本分析

智雲盾威脅檢測中心主要捕獲到的是BillGates和Muhstik殭屍網絡利用CVE-2021-26084漏洞的攻擊，我們對兩個殭屍網絡的樣本做了詳細分析，下面是對Muhstik的分析過程：

1、9月7日，智雲盾在多個節點都捕獲到了Muhstik殭屍網絡的payload，Muhstik通過漏洞分發惡意樣本，會從兩個惡意樣本服務器149.28.85.17、194.31.52.174上下載conf2腳本，下面是payload詳情：

圖3 利用ConfluenceRE漏洞的payload

2、Muhstik殭屍網絡樣本在被攻擊服務器上執行conf2腳本，下載二進制文件dk86和兩個腳本文件（m8、ldm），隨後的分析中我們發現dk86文件中包含多個殭屍網絡功能，m8和ldm腳本均爲該殭屍網絡的橫向感染腳本。下面是從conf2腳本文件中下載文件的shell腳本

圖4 conf2腳本內的下載指令

3、我們下載了dk86程序，經過逆向分析後，發現它的通過連接到C2來接收指令，從而實現以下幾個功能：下載文件、端口掃描、暴力破解和DDoS、CC攻擊，下圖展示了dk86程序中的函數：

圖5 dk86程序中的函數

4、我們下載ldm和m8腳本，進行詳細分析，分析發現這是Muhstik殭屍網絡的橫向傳播腳本，下面展示了橫向傳播的詳細過程，主要包括以下四個步驟：

A啓用root權限，並修改rm、curl、wget等命令的名稱

圖6 修改系統命令

B寫入主控端的ssh公鑰，修改ssh配置，並殺死其他挖礦程序，釋放系統資源

圖7 修改ssh配置並殺死挖礦程序

C遍歷主機上的用戶，通過查看系統各文件來枚舉ssh密鑰

圖8 查詢可遠程登錄的ssh用戶

D通過ssh遠程命令從ip：34.221.40.237上執行下載名稱包含pty的Muhstik殭屍網絡的主程序和橫向感染程序ldm，該pty程序確定爲二進制文件IRC bot，支持多平臺包括ARM、MIPS、x64和x86。主要功能包括髮起DDoS攻擊，以及暴力破解和端口掃描等功能。

圖9 通過ssh遠程命令橫向感染主機

四、沙箱流量分析

我們在對兩個樣本進行分析時，BillGates殭屍網絡的木馬程序正在對外進行DDoS攻擊，我們抓包分析出入向流行，分析流量發現以下幾個行爲：端口掃描、與C&C域名通信和對外發送udp小包攻擊，下面爲實際捕獲的流量：

1、木馬程序對大量ip進行syn掃描：

圖10 木馬程序SYN掃描

2、殭屍網絡使用的C&C域名：300gsyn.it，域名解析IP地址爲155.94.178.138（美國 加州）

圖11 木馬程序與C&C域名通信

3、木馬程序對外發送udp小包攻擊：

圖12 對外發送UDP小包攻擊

五、總結

CVE-2021-26084漏洞自披露以來，已經被多個黑客團伙納入其武器包，試圖通過互聯網上存在漏洞的Confluence服務器來傳播殭屍網絡。通常來說漏洞越新，往往越容易利用成功，近期利用該漏洞傳播的活動頻發，正說明黑客團伙也在時刻關注新型漏洞。

六、處置建議

1、使用Confluence用戶和企業，關注官方公告獲得最新漏洞補丁和配置更新

2、對於感染了殭屍網絡的惡意程序，參考以下方式修復系統：

a、修復系統命令，上傳如下命令到/root下：lsattr、chattr、ps、netstat、ss、lsof

b、刪除如下目錄及文件：

/root/conf.n

/root/cmd.n

/root/moni.lod

/etc/rc.d/*rc*

c、使用top命令找到cpu利用率特高的惡意程序進程號並殺死

相關IOC信息：

149.28.85[.]17（美國）

194.31.52[.]174（羅馬尼亞）

34.221.40[.]237（美國 ）

153.121.58[.]102（日本 ）

18.235.127[.]50（美國）

http://3.10.224.87/[.a]/dk86

http://149.28.85.17/[c]onf2

http://153.121.58.102:80/wp-content/[themes]/zuki/m8

http://18.235.127.50/[l]dm

http://34.221.40.237/.x/[1]sh

http://34.221.40.237/.x/[p]ty1

http://157.230.189.52/wp-content/themes/twentynineteen/[l]dm

本文分享自微信公衆號 - 百度安全實驗室（BaiduX_lab）。
如有侵權，請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”，歡迎正在閱讀的你也加入，一起分享。