一、概述

騰訊安全威脅情報(bào)中心檢測(cè)到，有攻擊者正在積極利用GitLab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-22205）攻擊云主機(jī)，同時(shí)植入新型后門木馬Gitlab-daemon，該后門木馬的攻擊活動(dòng)已被騰訊安全通過(guò)Cyber-Holmes引擎全程分析掌握。

分析發(fā)現(xiàn)，攻擊者控制目標(biāo)系統(tǒng)后頻繁更新后門程序，推測(cè)后續(xù)投遞風(fēng)險(xiǎn)更大的惡意載荷的可能性較大。我們?cè)俅翁嵝哑髽I(yè)應(yīng)及時(shí)修復(fù)Gitlab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-22205），該漏洞評(píng)分為最高級(jí)的10分，風(fēng)險(xiǎn)極高。

攻擊者首先將后門偽裝為看似隨機(jī)名的.gz文件，再嘗試調(diào)用gunzip進(jìn)行解壓后執(zhí)行，借此偽裝其惡意命令執(zhí)行操作。后門執(zhí)行后將自身植入*/gitlab/git-data目錄下，用Gitlab-daemon文件名偽裝，以欺騙運(yùn)維人員。然后寫入計(jì)劃任務(wù)啟動(dòng)項(xiàng)，此時(shí)后門并不直接連接C2，而是先行退出，等待計(jì)劃任務(wù)下一次將其拉起時(shí)，再執(zhí)行更進(jìn)一步的惡意功能代碼。

多處細(xì)節(jié)表明攻擊者希望將自身偽裝為gitlab系統(tǒng)文件，以實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的長(zhǎng)久控制。

2021年4月14日，GitLab官方發(fā)布安全公告，披露并修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-22205）。漏洞等級(jí)為“嚴(yán)重”，CVSS初始評(píng)分9.9，2021年9月21日，官方將漏洞評(píng)分升級(jí)到最高的10分。2021年10月28日后，該漏洞的技術(shù)細(xì)節(jié)被披露，騰訊安全已捕獲多個(gè)惡意病毒家族利用該漏洞大肆攻擊云主機(jī)。

Cyber-Holmes引擎，寓意為“網(wǎng)絡(luò)空間威脅神探”。該系統(tǒng)針對(duì)海量威脅告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，可以將碎片化的威脅片斷復(fù)原拼接還原出完整攻擊過(guò)程?！癈yber-Holmes“引擎能力已接入騰訊主機(jī)安全（云鏡）、騰訊云安全運(yùn)營(yíng)中心（云SOC），以增強(qiáng)各安全產(chǎn)品關(guān)聯(lián)分析威脅事件的能力。

二、詳細(xì)技術(shù)分析

2.1 漏洞初始攻擊

通過(guò)騰訊云防火墻檢測(cè)攔截?cái)?shù)據(jù)發(fā)現(xiàn)，有攻擊者使用GitLab遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205)攻擊云主機(jī)，植入惡意腳本。

惡意腳本載荷地址：hxxp://37.49.229.172/i.php

2.2 I.PHP（漏洞攻擊初始載荷）

惡意腳本執(zhí)行后，進(jìn)一步拉取云端配置名為file的惡意木馬，植入本地tmp目錄下命名為tmp.nthD5UFtoZ.gz，同時(shí)對(duì)C2發(fā)送post請(qǐng)求上報(bào)感染成功記錄。

file惡意載荷地址：

hxxp://37.49.229.172/file

惡意感染-上報(bào)C2地址：

hxxp://37.49.229.172/up.php

2.3 file(Gitlab-daemon后門)

惡意載荷為ELF文件，第一次運(yùn)行后偽裝自身到gitlab/git-data目錄，模塊名偽裝為gitlab-daemon，并添加計(jì)劃任務(wù)持久化，隨后退出，等待計(jì)劃任務(wù)將其再次拉起后進(jìn)一步執(zhí)行其它惡意代碼。

分析該模塊為惡意后門文件，后門功能運(yùn)行前存在兩處網(wǎng)絡(luò)校驗(yàn)，校驗(yàn)均通過(guò)后會(huì)拉取云端配置的其它木馬載荷運(yùn)行，校驗(yàn)失敗則進(jìn)入循環(huán)休眠狀態(tài)，每86.4秒再次判斷云端校驗(yàn)開關(guān)是否打開：

1)nslookup解析惡意（teknowmuzical.top）域名，如果為1.1.1.1放棄后續(xù)惡意模塊拉取行為（該域名于2021.11.23開始配置有效的惡意解析記錄）。

2)從解析到的惡意服務(wù)地址獲取robots.txt文件，判斷返回指令大于3情況下，進(jìn)一步拉取其它惡意載荷執(zhí)行（分析時(shí)測(cè)試當(dāng)前返回1，依然未開啟）。

2.4 惡意域名（teknowmuzical.top）

注冊(cè)于5天前，在2011.11.23開始存在惡意解析記錄，vt查詢?cè)撚蛎壳吧袩o(wú)廠商將其標(biāo)識(shí)為“風(fēng)險(xiǎn)”。

惡意域名（teknowmuzical.top）當(dāng)前解析到惡意地址：37.49.229.172

當(dāng)前tobots.txt校驗(yàn)返回1，因此并不會(huì)觸發(fā)后門下放功能，暫不觸發(fā)后門中預(yù)埋的惡意載荷。

2.5 后門預(yù)留載荷

分析后門代碼邏輯可知，當(dāng)云端二重校驗(yàn)均通過(guò)情況下，攻擊者在代碼內(nèi)預(yù)埋了4個(gè)下放攻擊載荷，包含一個(gè)針對(duì)ARM架構(gòu)下的惡意載荷，以及3個(gè)其它架構(gòu)下的惡意載荷（Linux操作系統(tǒng)發(fā)行主版本號(hào)為3、4、5開頭的系列版本適配木馬）。

雖然云端二重校驗(yàn)當(dāng)前還未開啟，但攻擊者在其對(duì)應(yīng)的云端地址上已經(jīng)放置了與其file載荷預(yù)埋鏈接對(duì)應(yīng)的4個(gè)模塊，因此我們可以獲取到當(dāng)前放置的預(yù)埋惡意載荷。分析發(fā)現(xiàn)，目前攻擊者配置的后門下放模塊本與file后門代碼功能一致，區(qū)別在于一些細(xì)節(jié)的處理。

例如下圖左側(cè)后門版本使用nslookup進(jìn)行域名解析，圖片右側(cè)后門版本創(chuàng)建socket連接dns服務(wù)器進(jìn)行域名解析。

例如下圖左側(cè)版本在惡意代碼執(zhí)行入口前增加了gdb反調(diào)試功能，右側(cè)版本沒有反調(diào)試功能。

通過(guò)其配置的下放模塊upgrade模塊名也可知，攻擊者目前正在積極利用初始版本后門不斷植入新的upgrade版本后門，頻繁的進(jìn)行后門本身維護(hù)更新。從惡意域名開始解析的2021.11.23到2021.11.25三天內(nèi)，攻擊者后門已經(jīng)更新了至少5個(gè)版本。

三、威脅處置操作手冊(cè)

【產(chǎn)品解決方案】

1.【清理】

云主機(jī)用戶可使用騰訊主機(jī)安全的快掃功能，清理查殺Gitlab-daemon后門木馬：

通過(guò)騰訊主機(jī)安全（云鏡）控制臺(tái)，入侵檢測(cè)->文件查殺，檢測(cè)全網(wǎng)資產(chǎn)，檢測(cè)惡意文件，若發(fā)現(xiàn)，可進(jìn)行一鍵隔離操作。

步驟如下：

A: 主機(jī)安全(云鏡)控制臺(tái)：入侵檢測(cè)->文件查殺，選擇一鍵檢測(cè)：

B：彈出一鍵檢測(cè)設(shè)置，選擇快速掃描，全部專業(yè)版主機(jī)后開啟掃描：

C：查看掃描出的木馬風(fēng)險(xiǎn)結(jié)果項(xiàng)

D：對(duì)木馬文件進(jìn)行一鍵隔離（注意勾選隔離同時(shí)結(jié)束木馬進(jìn)程選項(xiàng)）

2.【加固】

云主機(jī)可使用騰訊主機(jī)安全（云鏡）的漏洞檢測(cè)修復(fù)功能，協(xié)助用戶快速修補(bǔ)相關(guān)高危漏洞，用戶可登錄騰訊主機(jī)安全控制臺(tái)，依次打開左側(cè)“漏洞管理”，對(duì)掃描到的系統(tǒng)組件漏洞、web應(yīng)用漏洞、應(yīng)用漏洞進(jìn)行排查。

步驟細(xì)節(jié)如下：

A：主機(jī)安全（云鏡）控制臺(tái)：打開漏洞管理->Web應(yīng)用漏洞管理，點(diǎn)擊一鍵檢測(cè)

B：查看掃描到的GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞風(fēng)險(xiǎn)項(xiàng)目

C：確認(rèn)資產(chǎn)存在GitLab exiftool遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞。運(yùn)維登錄資產(chǎn)后，升級(jí)GitLab exiftool 到最新版本。

D：回到主機(jī)安全（云鏡）控制臺(tái)再次打開“漏洞管理”，重新檢測(cè)確保資產(chǎn)已不受GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞影響。

3.【防御】

騰訊云防火墻支持對(duì)Gitlab-daemon后門木馬使用的漏洞攻擊進(jìn)行檢測(cè)防御，即使因某些原因?qū)е侣┒葱迯?fù)延誤，客戶也可以開通騰訊云防火墻高級(jí)版進(jìn)行有效防御：

在騰訊云控制臺(tái)界面，打開入侵防御設(shè)置即可。

【手動(dòng)清理Gitlab-daemon后門】

進(jìn)程

排查結(jié)束以下gitlab-daemon惡意進(jìn)程

文件

排查清理var/opt/gitlab/git-data/gitlab-daemon惡意文件

計(jì)劃任務(wù)

排查清理以下惡意計(jì)劃任務(wù)

【加固建議】

1.如無(wú)必要，不要將Gitlab接口開放在公網(wǎng)，改為本地或者內(nèi)網(wǎng)調(diào)用，如必須開放盡量配置好訪問(wèn)白名單。

2.升級(jí)Gitlab最新版本，不同版本升級(jí)策略略有差異，步驟可參考官方文檔

https://docs.gitlab.com/ee/update/index.html

IOCs

IP

37.49.229.172

DOMAIN

teknowmuzical.top

URL

hxxp://37.49.229.172/i.php

hxxp://37.49.229.172/file

hxxp://37.49.229.172/up.php

MD5

749476d5d35a5ba63ef285cad8fff9ba

e032e6071e2ac1bc4c41359b82be27c4

78a8049c428decd2692a1bc0bca145a6

19d3f16a4bb7a5ed3c64f53df72e47a8

53e52d90d2bf56bb1cebbe9b92c6cd6f

e032e6071e2ac1bc4c41359b82be27c4

原文《攻擊者利用漏洞控制了服務(wù)器，還沒想明白要干什么……》

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/