利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

一、現(xiàn)象描述

近日，深信服EDR產(chǎn)品率先檢測到一款新型Linux挖礦木馬，經(jīng)深信服安全專家分析，該病毒利用Confluence漏洞傳播，通過定時下載對病毒體進(jìn)行?；?，同時由于病毒會殺掉包含“https://”、“http://”的進(jìn)程，將導(dǎo)致用戶無法下載文件及訪問網(wǎng)頁，挖礦進(jìn)程會導(dǎo)致服務(wù)器出現(xiàn)卡頓等異?，F(xiàn)象。深信服安全團(tuán)隊對該挖礦木馬進(jìn)行了詳細(xì)的技術(shù)分析，并根據(jù)其母體文件名將其命名為seasame。

感染該木馬后現(xiàn)象如下，可以看到一個CPU占用異常高的vmlinuz進(jìn)程以及3個采用7位隨機(jī)字符拼湊的進(jìn)程。

另外，還會出現(xiàn)無法使用wget和curl命令，以及無法打開瀏覽器等問題。

該病毒目前的傳播途徑主要是利用Confluence近期公布的遠(yuǎn)程代碼執(zhí)行漏洞CVE-2019-3396和CVE-2019-3398，這里提醒有安裝該軟件的用戶需要注意進(jìn)行防御。

二、詳細(xì)分析

2.1 母體腳本

一些初始化變量如下，其中entropy為C&C服務(wù)器字符串的翻轉(zhuǎn)，C&C服務(wù)器地址為51[.]15[.]56[.]161[:]443；變量new_bash、new_dog、new_killbot、omelette為后面要創(chuàng)建的文件名，均由7位隨機(jī)的字符串組成，后面描述這些文件時都直接使用其對應(yīng)的變量名；_b，_j等變量用于拼湊shell命令。

根據(jù)是否存在vmlinuz進(jìn)程及其CPU占用是否超過30%，判斷系統(tǒng)是否已經(jīng)感染，如果已經(jīng)感染則殺掉其他CPU占用高于30%的進(jìn)程并退出腳本：

下載挖礦程序omelette及母體腳本seasame到/tmp目錄下，并執(zhí)行挖礦程序。

創(chuàng)建crontab定時任務(wù)：

創(chuàng)建的定時任務(wù)如下，每隔5分鐘都會從C&C服務(wù)器下載母體腳本seasame到/tmp目錄下并執(zhí)行：

刪除iptables命令，將wget重命名為wgetak，curl命令重命名為curlak。

創(chuàng)建cloud_agent.service服務(wù)：

cloud_agent.service服務(wù)如下，同樣用于下載并執(zhí)行母體腳本seasame：

將bash命令復(fù)制到當(dāng)前目錄，然后分別執(zhí)行3個腳本。new_dog：守護(hù)挖礦進(jìn)程；new_killbot：清除除vmlinuz以外，CPU占用大于30%的進(jìn)程；prot：殺掉包含“https://”、“http://”、“eval”的進(jìn)程。

2.2 挖礦程序

1.打開相應(yīng)的文件，如果文件不存在，則生成相應(yīng)的文件，如下所示：

2.生成/temp/ec2a6文件，如下所示：

生成的文件，如下所示：

3.生成/var/tmp/f41，如下所示：

4.生成de33f4f911f20761，如下所示：

生成的文件，如下所示：

5.獲取主機(jī)CPU信息，如下所示：

6.解密出相應(yīng)的礦池IP地址:51.38.133.232、51.15.56.161，如下所示：

7.然后拼接不同的端口號，組成相應(yīng)的礦池地址，如下所示：

組合成的礦池地址列表，如下所示：

51.38.133.232:44351.15.56.161:8051.38.133.232:2151.15.56.161:2051.38.133.232:5351.15.56.161:5351.38.133.232:16251.15.56.161:16151.38.133.232:99051.15.56.161:98951.38.133.232:111151.15.56.161:111151.38.133.232:222251.15.56.161:222251.38.133.232:333351.15.56.161:333351.38.133.232:444451.15.56.161:444451.38.133.232:818151.15.56.161:808051.38.133.232:2520051.15.56.161:25400

8.創(chuàng)建子進(jìn)程，進(jìn)行挖礦操作，如下所示：

創(chuàng)建挖礦進(jìn)程過程，如下所示：

相應(yīng)的進(jìn)程信息，如下所示：

top進(jìn)程信息，如下所示：

9.挖礦進(jìn)程相關(guān)參數(shù)，如下所示：

捕獲到的相應(yīng)的流量數(shù)據(jù)包，如下所示：

挖礦相關(guān)流量數(shù)據(jù)包，如下所示：

礦池IP地址為礦池地址列表中的：51.38.133.232:443

10.連接遠(yuǎn)程礦池地址，如下所示：

請求連接51.15.56.161，如下所示：

獲取到的流量數(shù)據(jù)，如下所示：

如果連接失敗，則請求連接51.38.133.232，如下所示：

返回相應(yīng)的數(shù)據(jù)，如下所示：

獲取到的流量數(shù)據(jù)，如下所示：

拼接相應(yīng)的內(nèi)容，如下所示：

然后將獲取的內(nèi)容，寫入到/temp/yayscript.sh腳本中，并通過bash執(zhí)行sh腳本，如下所示：

yayscript.sh的內(nèi)容，如下所示：

三、解決方案

病毒檢測查殺

1、深信服為廣大用戶免費(fèi)提供針對seasame病毒的專殺工具，可下載如下工具，進(jìn)行檢測查殺。

下載鏈接：http://edr.sangfor.com.cn/tool/clear_seasame.sh

上述就是小編為大家分享的利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。