[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sFCSxtwr-1692151930065)(https://image.3001.net/images/20211214/1639474554_61b8657a350d60d253dc5.jpg!small)]
1. 前言
近日,微步在线旗下微步情报局利用免费社区蜜罐 HFish 捕获到 GitLab
未授权远程命令执行漏洞(CVE-2021-22205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。
GitLab 是 GitLab Inc. 开发用于代码仓库管理系统的开源项目。GitLab 广泛应用于多个企业,该漏洞影响范围较广。
2. 事件详情
在2021年“双11”前夜, HFish 蜜罐与 OneEDR 联合行动,捕获并处置了一起真实利用 GitLab
未授权远程命令执行漏洞(CVE-2021-22205)在野漏洞进行挖矿的攻击。
根据部署在互联网的 GitLab 服务模拟蜜罐显示,该攻击发生在11月10日晚上21点,某国内IP经过简单扫描踩点后,发送可疑HTTP
POST请求,经过分析确认该漏洞为利用ExifTool解析图片异常导致命令执行的CVE-2021-22205,并提取行为特征推送给 OneEDR 客户。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZusezfGd-1692151930069)(https://image.3001.net/images/20211214/1639475024_61b8675068ec3dc1c75d2.jpg!small)]由于该漏洞利用简单,且利用代码已经公开,多个企业用户已经感知部分主机失陷,主机告警界面出现了多条告警信息,告警名称是木马进程
xmrig,研究人员根据文件的名称判定是与挖矿相关的木马。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ApPv5WSK-1692151930070)(https://image.3001.net/images/20211214/1639475070_61b8677e971f6fe3853ec.jpg!small)]
3. 告警排查分析
点击日志详情,在2021/11/11 18:10 - 2021/11/11 18:20 时间内,发现有多个文件下载行为。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MEZjqpDL-1692151930070)(https://image.3001.net/images/20211214/1639475090_61b867924c43ae12c3050.jpg!small)]点击其中一个日志查看详情可以发现,该操作第一次发生是在
GitLab 相关的目录,初步怀疑是通过 GitLab 漏洞进来的。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y1l01mUK-1692151930071)(https://image.3001.net/images/20211214/1639475110_61b867a6cb8f9c7c17883.jpg!small)]
登录服务器排查,查看 GitLab 的相关日志,发现有同一可疑 IP 多次访问 GitLab,post 请求传输数据的时间与 OneEDR
产生告警时间几乎一致。
#cat production.log | grep POST
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ASCEBRry-1692151930071)(https://image.3001.net/images/20211214/1639475128_61b867b84469bbaafa635.jpg!small)]研究人员利用
CVE-2021-22205 漏洞的 exp 去验证该 GitLab 是不是存在 GitLab rce
(CVE-2021-22205)的漏洞,经过验证发现确认,该 GitLab 存在 RCE 漏洞。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mHCSArSO-1692151930072)(https://image.3001.net/images/20211214/1639475145_61b867c911dd5c6a8663f.jpg!small)]接着,把
xmrig 木马拿到本地虚拟机进行分析,发现该木马是门罗币挖矿木马,它可以指定 url 进行挖矿、后台运行挖矿程序、以及指定钱包地址等方式进行挖矿活动 。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gJS2bg7D-1692151930073)(https://image.3001.net/images/20211214/1639475162_61b867da29ef8bdf9a024.jpg!small)]
**3.1 处置建议 **
1、自查 GitLab 是否在下面涉及到的版本,若是,请自行升级 GitLab 版本。
本次漏洞影响的 GitLab版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
GitLab 相关源 https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/ ;
2、GitLab密码使用高强度密码,切勿使用弱口令,防止黑客暴力破解。
4. 总结与思考
4.1 事件总结
本次事件是通过免费社区蜜罐 HFish、OneEDR 在收集终端的进程、网络、文件等系统行为发现的,通过 OneEDR
的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。
HFish 是一款基于 Golang 开发的社区免费蜜罐,可提供多种网络服务和 Web 应用模拟。
OneEDR
是一款专注于主机入侵检测的新型终端防护平台,通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段,实现对主机入侵的精准发现,发现已知与未知的威胁。充分利用
ATT&CK 对攻击全链路进行多点布控,全面发现入侵行为的蛛丝马迹。
4.2 事件思考
1.随着近几年5G物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主要的攻击目标。
2.随着物联网设备的不断增多,使用SSH
暴力破解攻击会也越来越多,这会让僵尸网络迅速增加自己的bot;与此同时,黑客租用的是国外匿名廉价的虚拟专用服务器,它不但成本低,而且溯源难度较高,所以,以后僵尸网络只会越来越多。
3.目前的IOT僵尸网络以 DDoS 和 挖矿的木马为主。
原文内容参考反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
安全传送门 >>
访问 https://hfish.io/#/ 即可开始一键部署,也可以扫描下方【HFish官方交流群】二维码进群与我们交流哦!
————————————————
版权声明:本文为CSDN博主「微步在线」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_56810455/article/details/121418995
请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_56810455/article/details/121418995
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
3717
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
