智云盾捕获多个僵尸网络利用最新ConfluenceRCE漏洞的活动

于 2021-09-22 17:52:45 发布
阅读量388 收藏
点赞数
文章标签: 网络 linux 安全 centos 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Baidu_Secrity/article/details/120426236
版权

f379b44ddea420f2dc9591ec6bbccd3e.png

一、背景

8月25日,Atlassian官方发布公告,公布了一个最新的远程代码执行漏洞,多个版本Confluence服务存在漏洞。9月7日,智云盾威胁中心检测到BillGates、Muhstik僵尸网络利用该漏洞的多个攻击活动。智云盾威胁中心建议Confluence用户尽快采取安全措施避免被利用攻击。

漏洞时间线:

a9c0f78e710d61c4571d31aa4583be65.png

图1 漏洞时间线

  • 8月25日,Atlassian官方发布安全公告,披露了Confluence远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可以远程任意代码执行;

  • 8月25日,智云盾开始监控僵尸网络的威胁IP:79.172.212.132;

  • 9月1日,首个漏洞POC在Github公开;

  • 9月7日,智云盾威胁中心发现威胁IP:79.172.212.132对观测节点发起漏洞扫描;

  • 9月7日,智云盾监测到Muhstik僵尸网络利用该漏洞的攻击;

  • 9月14日,智云盾监测到僵尸网络BillGates使用该漏洞进行僵尸网络恶意文件投递;

  • 9月16日,智云盾监测到僵尸网络BillGates使用该漏洞对某公司官网进行DDoS攻击;

二、漏洞利用流程

52004007d53ceb38ad6646553f8119e8.png

图2 漏洞利用流程图

三、样本分析

智云盾威胁检测中心主要捕获到的是BillGates和Muhstik僵尸网络利用CVE-2021-26084漏洞的攻击,我们对两个僵尸网络的样本做了详细分析,下面是对Muhstik的分析过程:

1、9月7日,智云盾在多个节点都捕获到了Muhstik僵尸网络的payload,Muhstik通过漏洞分发恶意样本,会从两个恶意样本服务器149.28.85.17、194.31.52.174上下载conf2脚本,下面是payload详情:

018fc372cafc82d351faa9c5e7ef5caa.png

图3 利用ConfluenceRE漏洞的payload

2、Muhstik僵尸网络样本在被攻击服务器上执行conf2脚本,下载二进制文件dk86和两个脚本文件(m8、ldm),随后的分析中我们发现dk86文件中包含多个僵尸网络功能,m8和ldm脚本均为该僵尸网络的横向感染脚本。下面是从conf2脚本文件中下载文件的shell脚本

f1b3a22f3a1a995bb6168a768f874f37.png

图4 conf2脚本内的下载指令

3、我们下载了dk86程序,经过逆向分析后,发现它的通过连接到C2来接收指令,从而实现以下几个功能:下载文件、端口扫描、暴力破解和DDoS、CC攻击,下图展示了dk86程序中的函数:

c0a47451bb9754778f3019eb48b0d3f1.png

图5 dk86程序中的函数

4、我们下载ldm和m8脚本,进行详细分析,分析发现这是Muhstik僵尸网络的横向传播脚本,下面展示了横向传播的详细过程,主要包括以下四个步骤:

A启用root权限,并修改rm、curl、wget等命令的名称

da3f94b1ba5eeb41bb1d0923e09a6a2e.png

图6 修改系统命令

B写入主控端的ssh公钥,修改ssh配置,并杀死其他挖矿程序,释放系统资源

8ff36f15304939079f6749d027f97015.png

8a821306322a452bf9e792c9c786bf78.png

图7 修改ssh配置并杀死挖矿程序

C遍历主机上的用户,通过查看系统各文件来枚举ssh密钥

83d9e60ac3110ad8d45825175ad5561d.png

图8 查询可远程登录的ssh用户

D通过ssh远程命令从ip:34.221.40.237上执行下载名称包含pty的Muhstik僵尸网络的主程序和横向感染程序ldm,该pty程序确定为二进制文件IRC bot,支持多平台包括ARM、MIPS、x64和x86。主要功能包括发起DDoS攻击,以及暴力破解和端口扫描等功能。

d35ae7f1b7fe21d193adc6bfce519a70.png

32f76d7b545c05b4a268640774f2d81e.png图9 通过ssh远程命令横向感染主机

四、沙箱流量分析

我们在对两个样本进行分析时,BillGates僵尸网络的木马程序正在对外进行DDoS攻击,我们抓包分析出入向流行,分析流量发现以下几个行为:端口扫描、与C&C域名通信和对外发送udp小包攻击,下面为实际捕获的流量:

1、木马程序对大量ip进行syn扫描:
7480ae6ec3a85658def0f1f305b78401.png

eb0487660e328f1e5a018c9c8fc38b1d.png

图10 木马程序SYN扫描

2、僵尸网络使用的C&C域名:300gsyn.it,域名解析IP地址为155.94.178.138(美国 加州)

83baec3516bb83ffb573ade4e72055d7.png

图11 木马程序与C&C域名通信

3、木马程序对外发送udp小包攻击:

3a8251f3a08488d3470025fd5f5ccbd8.png

图12 对外发送UDP小包攻击

五、总结

CVE-2021-26084漏洞自披露以来,已经被多个黑客团伙纳入其武器包,试图通过互联网上存在漏洞的Confluence服务器来传播僵尸网络。通常来说漏洞越新,往往越容易利用成功,近期利用该漏洞传播的活动频发,正说明黑客团伙也在时刻关注新型漏洞。

六、处置建议

1、使用Confluence用户和企业,关注官方公告获得最新漏洞补丁和配置更新

2、对于感染了僵尸网络的恶意程序,参考以下方式修复系统:

a、修复系统命令,上传如下命令到/root下:lsattr、chattr、ps、netstat、ss、lsof

b、删除如下目录及文件:

/root/conf.n

/root/cmd.n

/root/moni.lod

/etc/rc.d/*rc*

c、使用top命令找到cpu利用率特高的恶意程序进程号并杀死

相关IOC信息:

149.28.85[.]17(美国)

194.31.52[.]174(罗马尼亚)

34.221.40[.]237(美国 )

153.121.58[.]102(日本 )

18.235.127[.]50(美国)

http://3.10.224.87/[.a]/dk86

http://149.28.85.17/[c]onf2

http://153.121.58.102:80/wp-content/[themes]/zuki/m8

http://18.235.127.50/[l]dm

http://34.221.40.237/.x/[1]sh

http://34.221.40.237/.x/[p]ty1

http://157.230.189.52/wp-content/themes/twentynineteen/[l]dm

50ff7b0f7268b1a5bbc8404113b66c37.png

百度安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
红与蓝:现代Webshell检测引擎免杀对抗与实践
09-21 1633
上半年Webshell话题很火,业界举办了数场对抗挑战赛,也发布了多篇站在安全产品侧,着重查杀思路的精彩文章,但鲜有看到以蓝军视角为主的paper。作为多场挑战赛的参赛者及内部红蓝对抗的参与者,笔者试着站在蓝军角度,聊聊现代Webshell对抗的一些思路,也以PHP Webshell为例,分享包括利用PHP自身bug、构造PHP内存马、强制赋值私有变量等一些还没有被提及到但又比较有趣的trick。希望能对正在参与某些大型攻防对抗演练的你有所收获。1 轻松绕过传统规则查杀即便是现在一些主流商业产品,也
博客
百度世界大会公开课 | 人工智能的安全威胁:深度学习中的攻防对抗分析
09-17 1407
9月15日,“万物智能—百度世界2020”在线上召开。大会联合央视新闻,用线上发布会的形式,面向行业、合作伙伴、广大用户和媒体,发布了百度人工智能全年最新、最前沿的技术、产品、解决方案等成果。其中,在百度飞桨与生态公开课环节,来自百度研究院的资深安全研究员仲震宇带来了《深度学习模型的安全问题与防护》的技术分享。在数据丰沛的时代,计算机可以通过自我学习获得算法,把数据转化为知识。深度学习是当前机器学习技术中最为炙手可热的一种。深度学习的实质,就是通过构建具有很多隐层的机器学习模型和海量的训练数据,来学习更有
博客
百度安全论文入选IEEE TIFS,让攻击者再逃不出“楚门的世界”
07-28 1646
导读:近日百度安全发表的论文《Detecting Hardware-assisted Virtualization with Inconspicuous Features》入选国际TOP期刊IEEE TIFS,论文深度剖析了虚拟化检测技术,并创新性提出一种最新硬件虚拟化检测技术,无须提权就能实现对硬件虚拟化环境的检测,本文将对这篇论文进行详细的解读。虚拟化作为云计算系统中的一种基础技术,近年来,虚拟化技术不仅广泛应用于云服务器,也广泛应用于个人桌面。那么究竟虚拟化技术是什么,又为什么起到这么重要的.
博客
百度安全七大开源项目构建新一代人工智能安全技术栈
04-07 1179
新技术、新业态催生了传统网络安全格局的深刻变革。伴随移动互联网,大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,智能设备将无所不在,智能家居、无人车、物联网将渗透到人类社会的各个角落,丰富的应用场景下暴露出越来越多的网络安全风险和问题,在全球范围内产生广泛而深远的影响。人身安全、数据安全与隐私面临着全新挑战,对互联网发展与治理带来巨大的挑战。不仅如...
博客
首批通过 | 百度通过中国信通院H5端人脸识别安全能力评估工作
07-19 635
为进一步提升H5端人脸识别技术的安全性和推动其标准化发展,中国信通院人工智能所联合业界启动了“H5端人脸识别安全能力”首轮评估工作,评测涵盖了H5端人脸识别系统的人脸识别算法安全能力、数据安全能力、H5端应用安全、身份认证业务安全、安全管理等5个方面的23个指标项,百度H5实时活体检测产品在人脸识别算法安全能力、人脸数据传输安全能力、H5端应用安全能力、身份认证业务安全能力、安全管理能力各个方面均表现优异,相应能力项的指标均符合标准验证要求,通过中国信通院H5端人脸识别安全能力评估。
博客
中国互联网大会 | 百度智能云千帆大模型数据安全解决方案荣获“金灵光杯”
07-12 733
3)大模型运行时安全管控:对百度智能云千帆大模型平台基础环境进行数据安全风险评估形成环境清单,为大模型关键程序进行数据安全风险评估形成程序清单,为核心数据资产进行数据安全风险评估形成数据清单,同时基于零信任等数据安全管控理念,为百度智能云千帆大模型平台提供运行时安全管控机制,实现大模型在生产、流转、部署等流程中数据资产、模型资产有效保护。对外在数据出域、模型端侧部署等场景,可以实现数据、模型的「可见不可用,可见不可得」,保证数据、模型处于可控状态,从而实现一体化高价值数据、模型资产保护方案。
博客
百度安全大模型智能体实践入选信通院“安全守卫者计划”优秀案例
07-11 864
与此同时,会上发布的《安全行业大模型技术应用态势发展报告(2024)》,进一步梳理了大模型在安全行业的应用现状,深入分析了当前我国安全行业大模型技术落地关键,系统归纳大模型在安全领域的主要应用场景,以探讨传统安全技术与大模型融合的新趋势,洞察人工智能时代安全产业的未来发展方向。未来,百度安全也将持续与产学研各界合作伙伴保持合作,共同迎接大模型时代的新机遇、新挑战,携手共筑安全防线,通过智能体协同重构安全业务流程,构筑AI在安全大模型中的新质生产力,助力安全从业者为千行百业护航。百度安全运营智能体平台架构。
博客
护航端侧大模型平稳健康发展,百度大模型内容安全Lite版正式发布
07-05 890
2023年,基于文心大模型安全实践经验,百度安全推出了以AI安全为核心的大模型安全解决方案,旨在为大模型提供全生命周期的安全保障。面对大模型训练/精调/推理、大模型部署、大模型业务运营等关键阶段所面临的安全风险与业务挑战,方案提供了包含数据安全与隐私保护、模型保护、AIGC内容合规、业务运营风控的安全产品与服务,同时结合以攻促防守的思路建立AIGC 内容安全蓝军评测能力,对大模型实现例行化的安全评估,迄今已在金融、科技、电商、教育、零售等多个领域落地,助力客户和生态合作伙伴实现了大模型的安全升级。
博客
深度报告 | 百度安全携手极越安全发布《整车安全渗透测试白皮书》
07-05 479
白皮书联合项目组充分利用双方团队的优势,凭借对业务的理解,对技术的深入和对产业的洞察,梳理出一套完整的安全渗透测试方法论和工具使用指南,帮助车企建立或完善自身的安全渗透测试体系,有效识别潜在的安全风险,指导安全设计工作,提升整车的安全防护能力。基于基础安全、数据安全、业务安全、车与IoT安全四大产品矩阵,业务覆盖百度各种复杂安全场景,同时面向合作伙伴输出安全产品与行业一体化解决方案,涵盖智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域,全面探索AI时代的新实践、新范式。3、方法、工具和实践经验。
博客
WAVE SUMMIT产业论坛圆满落地,百度安全护航大模型产业平稳健康发展
07-03 994
在数智化时代的浪潮下,大模型技术已然崛起,成为推动新一轮科技和产业创新的关键力量。28日下午,WAVE SUMMIT深度学习开发者大会2024 “智变应用、码动产业”平行论坛座无虚席,企业负责人、技术专家等汇聚一堂,围绕大模型技术,探讨智能化升级关窍,多位大咖倾囊相授全场景、多领域、准定位的业务升级思路,推进基于文心大模型的AI原生应用创新浪潮。中国中小企业协会谢极出席论坛并发表致辞。
博客
Baidu Comate发布中文名“文心快码”,企业级安全能力全面升级
07-01 228
在百度,单位时间提交代码数量增加35%、研发单周交付占比达到了57%,整体研发提效14%以上,与此同时,典型客户喜马拉雅一个季度落地采纳率就可以达到了44%,数据均业界领先。在之前续写、解释代码、问答等能力的基础上,新版本可深度解读代码库、关联权威公域和私域知识生成新的代码,生成的代码更加安全,并且可以智能检测安全漏洞、一键修复漏洞,支持混合云部署等。目前,文心快码提供标准版、专业版、企业版、企业专有版4大版本,大会期间限时放送文心快码专业版3个月会员卡,开发者可以通过百度搜索文心快码进入官网领取。
博客
百度发布文心大模型4.0 Turbo,多端面向用户正式开放
07-01 246
文心一言累计用户规模已达3亿,日调用次数也达到了5亿。”6月28日,百度首席技术官、深度学习技术及应用国家工程研究中心主任王海峰在 WAVE SUMMIT 深度学习开发者大会2024上宣布了文心一言的最新数据,并正式发布文心大模型4.0 Turbo、飞桨框架3.0等最新技术,披露飞桨文心生态最新成果。
博客
百度大模型安全荣获2024世界智能产业博览会“Find智能科技创新应用典型案例”
06-21 1167
2023年,基于文心大模型安全实践经验,百度安全推出以AI安全为核心的大模型安全解决方案,从大模型全生命周期视角出发,方案涵盖大模型训练/精调/推理、大模型部署、大模型业务运营等关键阶段所面临的安全风险与业务挑战,提供全流程的包含数据安全与隐私保护方案、模型保护方案、AIGC 内容合规方案、以及业务运营风控方案的安全产品与服务,同时结合以攻促防守的思路建立AIGC 内容安全蓝军评测能力,对大模型实现例行化的安全评估,助力企业构建平稳健康、可信可靠的大模型服务。百度搜索“百度大模型安全”,了解更多详情。
博客
百度安全X盈科全球数据合规服务中心:推进数据安全及合规智能化创新领域深化合作
06-20 711
相信在双方的共同努力下,以大模型为代表的新一代技术手段将为法律服务提供新质生产力,共同为企业提供一体化、智能化的数据合规、数据安全服务,百度的大模型技术也将通过与盈科多维度、深层次的合作,得到更为广泛的行业应用。盈科律师事务所党委书记、主任、全球董事会主任梅向荣,百度安全副总经理刘蕊红,盈科全球董事会董事、综合业务部主任何宁宁,盈科全球数据合规服务中心主任郭卫红,盈科数智化信息中心主任孙文,百度数管平台负责人季石磊,百度合规认证工程师吴月升等出席签约仪式。盈科律师事务所党委书记、主任、
博客
百度大模型安全及产业应用实践将亮相 2024 WAVE SUMMIT
06-19 66
WAVE SUMMIT 深度学习开发者大会 2024 由深度学习技术及应用国家工程研究中心主办,百度飞桨、文心大模型联合承办。大会将由深度学习技术及应用国家工程研究中心主任、百度首席技术官王海峰等业界重磅嘉宾领衔,将与万千开发者分享国产大模型在技术创新、产业应用、生态社区等方面的最新进展。本届大会共设 1 场主论坛、6 大平行论坛、多场 Workshop 以及展区。“智变应用 码动产业” 论坛将围绕大模型技术,探讨企业智能化升级关窍,邀请各行业先锋企业,为生态伙伴带来全场景、多领域、准定位的业务升级思路。
博客
AI赋能数据安全体系化落地,出席网安标委2024年第一次标准周“数据安全标准与能力建设研讨会”
06-14 425
刘蕊红从安全的伴生性、风险的滞后性、技术的前瞻性三点特性出发,提出了业务与安全“一体化”、网络安全与数据安全“一体化”、 数据与人“一体化”的思考,并介绍了百度数据安全在体系化落地中的实践经验以及智能化探索。刘蕊红表示,企业数据安全建设是一个持续管理“数据”与“人”的风险的过程,需要始终以“数据”为本,以“业务”为锚 ,以“人”为本,以“风险”为尺,让数据安全融入业务发展,让数据安全风险评估成为驱动数据安全建设的抓手,将数据安全风险评估结果作为衡量数据安全体系落地效果的标尺。数据安全标准与能力建设研讨会。
博客
BCS2024|Baidu Comate:以研发提效为驱动实现“安全左移”
06-07 74
Baidu Comate 是百度基于⽂⼼大模型的智能代码助⼿,围绕 “AI+需求”、“AI+编码”、“AI+测试及发布”的三个关键研发流程,Comate将代码的理解、生成、优化和安全等能力无缝集成到DevOps研发流程的各个环节之中,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。在漏洞修复方面,传统的漏洞修复需靠工程师手动修复,效率低,且质量无法保证,Baidu Comate以文心大模型 4.0 为基础,建设了代码漏洞自动修复能力,帮助工程师大幅提升漏洞修复效率;
博客
大模型安全技术实践 | RAG精确应对大模型敏感问题知识幻觉难题
06-07 639
因此,纠正这些幻觉现象,是一个值得长期关注的问题。百度大模型内容安全解决方案采用了检索增强安全大模型作为核心模块,融合了海量的高质量知识库数据,并经过安全对齐优化,能够精准识别AIGC生成内容中的各类违规风险,有的放矢地进行过滤和改写。而在大模型处理敏感问题上,由于敏感问题具备一定的推理复杂性、高时效性,因此使用常规的向量数据库存储知识、检索召回注入prompt,会面临高维护成本的基础上,并不能完全解决最新的敏感(如时政)问题,且面对较为复杂的问题上,传统的RAG范式并不能覆盖所有的问题。
博客
度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办
06-03 1107
奇安信产品安全高级经理,兼网络安全部蓝军负责人武鑫表示,SDL或DevSecOps已逐步在各大公司落地,但初步建成的效果并不是很好,比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里,也就是研发安全工作落地的最后关键环节,是需要大家对非自主发现的高危风险进行深度复盘剖析,下沉到研发体系、流程、规范、工具能力及人工测试的环节,一步步找出根因并解决问题,以此提升研发安全效果。奇安信产品安全高级经理 武鑫。
博客
2023全球DDoS攻击态势分析,与众多行业专家共议DDoS破局之道
05-23 283
深耕安全攻防领域二十余年,拥有丰富的经验首创可根据攻击类型的切换防御方案,并持续跟进企业需求变化,将从大流量防护性能、毫秒级攻击响应、精准新型攻击检测和防御自动化等多个方面不断提升产品价值,打造抗DDoS攻击防护利器,帮助千行万业构筑起坚固的互联网安全堤坝。DDoS攻击因其攻击成本低廉及难防御的特点,一直以来是网络安全的热点。随着人工智能时代来临,全球DDoS攻击频次呈持续增长趋势,2023年攻击频次同比大幅增长1.6倍,超800Gbps攻击高达248次,DDoS攻击已成为网络安全的最大威胁之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值