聲明：該文章來自（騰訊安全威脅情報中心）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

一、概述

騰訊安全威脅情報中心檢測到，有攻擊者正在積極利用GitLab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-22205）攻擊云主機(jī)，同時植入新型后門木馬Gitlab-daemon，該后門木馬的攻擊活動已被騰訊安全通過Cyber-Holmes引擎全程分析掌握。

分析發(fā)現(xiàn)，攻擊者控制目標(biāo)系統(tǒng)后頻繁更新后門程序，推測后續(xù)投遞風(fēng)險更大的惡意載荷的可能性較大。我們再次提醒企業(yè)應(yīng)及時修復(fù)Gitlab遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-22205），該漏洞評分為最高級的10分，風(fēng)險極高。

攻擊者首先將后門偽裝為看似隨機(jī)名的.gz文件，再嘗試調(diào)用gunzip進(jìn)行解壓后執(zhí)行，借此偽裝其惡意命令執(zhí)行操作。后門執(zhí)行后將自身植入*/gitlab/git-data目錄下，用Gitlab-daemon文件名偽裝，以欺騙運維人員。然后寫入計劃任務(wù)啟動項，此時后門并不直接連接C2，而是先行退出，等待計劃任務(wù)下一次將其拉起時，再執(zhí)行更進(jìn)一步的惡意功能代碼。

多處細(xì)節(jié)表明攻擊者希望將自身偽裝為gitlab系統(tǒng)文件，以實現(xiàn)對目標(biāo)系統(tǒng)的長久控制。

2021年4月14日，GitLab官方發(fā)布安全公告，披露并修復(fù)了一個遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-22205）。漏洞等級為“嚴(yán)重”，CVSS初始評分9.9，2021年9月21日，官方將漏洞評分升級到最高的10分。2021年10月28日后，該漏洞的技術(shù)細(xì)節(jié)被披露，騰訊安全已捕獲多個惡意病毒家族利用該漏洞大肆攻擊云主機(jī)。

Cyber-Holmes引擎，寓意為“網(wǎng)絡(luò)空間威脅神探”。該系統(tǒng)針對海量威脅告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，可以將碎片化的威脅片斷復(fù)原拼接還原出完整攻擊過程?！癈yber-Holmes“引擎能力已接入騰訊主機(jī)安全（云鏡）、騰訊云安全運營中心（云SOC），以增強(qiáng)各安全產(chǎn)品關(guān)聯(lián)分析威脅事件的能力。

二、詳細(xì)技術(shù)分析

2.1 漏洞初始攻擊

通過騰訊云防火墻檢測攔截數(shù)據(jù)發(fā)現(xiàn)，有攻擊者使用GitLab遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205)攻擊云主機(jī)，植入惡意腳本。

惡意腳本載荷地址：hxxp://37.49.229.172/i.php

2.2 I.PHP（漏洞攻擊初始載荷）

惡意腳本執(zhí)行后，進(jìn)一步拉取云端配置名為file的惡意木馬，植入本地tmp目錄下命名為tmp.nthD5UFtoZ.gz，同時對C2發(fā)送post請求上報感染成功記錄。

file惡意載荷地址：

hxxp://37.49.229.172/file

惡意感染-上報C2地址：

hxxp://37.49.229.172/up.php

2.3 file(Gitlab-daemon后門)

惡意載荷為ELF文件，第一次運行后偽裝自身到gitlab/git-data目錄，模塊名偽裝為gitlab-daemon，并添加計劃任務(wù)持久化，隨后退出，等待計劃任務(wù)將其再次拉起后進(jìn)一步執(zhí)行其它惡意代碼。

分析該模塊為惡意后門文件，后門功能運行前存在兩處網(wǎng)絡(luò)校驗，校驗均通過后會拉取云端配置的其它木馬載荷運行，校驗失敗則進(jìn)入循環(huán)休眠狀態(tài)，每86.4秒再次判斷云端校驗開關(guān)是否打開：

1)nslookup解析惡意（teknowmuzical.top）域名，如果為1.1.1.1放棄后續(xù)惡意模塊拉取行為（該域名于2021.11.23開始配置有效的惡意解析記錄）。

2)從解析到的惡意服務(wù)地址獲取robots.txt文件，判斷返回指令大于3情況下，進(jìn)一步拉取其它惡意載荷執(zhí)行（分析時測試當(dāng)前返回1，依然未開啟）。

2.4 惡意域名（teknowmuzical.top）

注冊于5天前，在2011.11.23開始存在惡意解析記錄，vt查詢該域名目前尚無廠商將其標(biāo)識為“風(fēng)險”。

惡意域名（teknowmuzical.top）當(dāng)前解析到惡意地址：37.49.229.172

當(dāng)前tobots.txt校驗返回1，因此并不會觸發(fā)后門下放功能，暫不觸發(fā)后門中預(yù)埋的惡意載荷。

2.5 后門預(yù)留載荷

分析后門代碼邏輯可知，當(dāng)云端二重校驗均通過情況下，攻擊者在代碼內(nèi)預(yù)埋了4個下放攻擊載荷，包含一個針對ARM架構(gòu)下的惡意載荷，以及3個其它架構(gòu)下的惡意載荷（Linux操作系統(tǒng)發(fā)行主版本號為3、4、5開頭的系列版本適配木馬）。

雖然云端二重校驗當(dāng)前還未開啟，但攻擊者在其對應(yīng)的云端地址上已經(jīng)放置了與其file載荷預(yù)埋鏈接對應(yīng)的4個模塊，因此我們可以獲取到當(dāng)前放置的預(yù)埋惡意載荷。分析發(fā)現(xiàn)，目前攻擊者配置的后門下放模塊本與file后門代碼功能一致，區(qū)別在于一些細(xì)節(jié)的處理。

例如下圖左側(cè)后門版本使用nslookup進(jìn)行域名解析，圖片右側(cè)后門版本創(chuàng)建socket連接dns服務(wù)器進(jìn)行域名解析。

例如下圖左側(cè)版本在惡意代碼執(zhí)行入口前增加了gdb反調(diào)試功能，右側(cè)版本沒有反調(diào)試功能。

通過其配置的下放模塊upgrade模塊名也可知，攻擊者目前正在積極利用初始版本后門不斷植入新的upgrade版本后門，頻繁的進(jìn)行后門本身維護(hù)更新。從惡意域名開始解析的2021.11.23到2021.11.25三天內(nèi)，攻擊者后門已經(jīng)更新了至少5個版本。

三、威脅處置操作手冊

【產(chǎn)品解決方案】

1.【清理】

云主機(jī)用戶可使用騰訊主機(jī)安全的快掃功能，清理查殺Gitlab-daemon后門木馬：

通過騰訊主機(jī)安全（云鏡）控制臺，入侵檢測->文件查殺，檢測全網(wǎng)資產(chǎn)，檢測惡意文件，若發(fā)現(xiàn)，可進(jìn)行一鍵隔離操作。

步驟如下：

A: 主機(jī)安全(云鏡)控制臺：入侵檢測->文件查殺，選擇一鍵檢測：

B：彈出一鍵檢測設(shè)置，選擇快速掃描，全部專業(yè)版主機(jī)后開啟掃描：

C：查看掃描出的木馬風(fēng)險結(jié)果項

D：對木馬文件進(jìn)行一鍵隔離（注意勾選隔離同時結(jié)束木馬進(jìn)程選項）

2.【加固】

云主機(jī)可使用騰訊主機(jī)安全（云鏡）的漏洞檢測修復(fù)功能，協(xié)助用戶快速修補(bǔ)相關(guān)高危漏洞，用戶可登錄騰訊主機(jī)安全控制臺，依次打開左側(cè)“漏洞管理”，對掃描到的系統(tǒng)組件漏洞、web應(yīng)用漏洞、應(yīng)用漏洞進(jìn)行排查。

步驟細(xì)節(jié)如下：

A：主機(jī)安全（云鏡）控制臺：打開漏洞管理->Web應(yīng)用漏洞管理，點擊一鍵檢測

B：查看掃描到的GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞風(fēng)險項目

C：確認(rèn)資產(chǎn)存在GitLab exiftool遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞。運維登錄資產(chǎn)后，升級GitLab exiftool 到最新版本。

D：回到主機(jī)安全（云鏡）控制臺再次打開“漏洞管理”，重新檢測確保資產(chǎn)已不受GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞影響。

3.【防御】

騰訊云防火墻支持對Gitlab-daemon后門木馬使用的漏洞攻擊進(jìn)行檢測防御，即使因某些原因?qū)е侣┒葱迯?fù)延誤，客戶也可以開通騰訊云防火墻高級版進(jìn)行有效防御：

在騰訊云控制臺界面，打開入侵防御設(shè)置即可。

【手動清理Gitlab-daemon后門】

進(jìn)程

排查結(jié)束以下gitlab-daemon惡意進(jìn)程

文件

排查清理var/opt/gitlab/git-data/gitlab-daemon惡意文件

計劃任務(wù)

排查清理以下惡意計劃任務(wù)

【加固建議】

1.如無必要，不要將Gitlab接口開放在公網(wǎng)，改為本地或者內(nèi)網(wǎng)調(diào)用，如必須開放盡量配置好訪問白名單。

2.升級Gitlab最新版本，不同版本升級策略略有差異，步驟可參考官方文檔

https://docs.gitlab.com/ee/update/index.html

IOCs

IP

37.49.229.172

DOMAIN

teknowmuzical.top

URL

hxxp://37.49.229.172/i.php

hxxp://37.49.229.172/file

hxxp://37.49.229.172/up.php

MD5

749476d5d35a5ba63ef285cad8fff9ba

e032e6071e2ac1bc4c41359b82be27c4

78a8049c428decd2692a1bc0bca145a6

19d3f16a4bb7a5ed3c64f53df72e47a8

53e52d90d2bf56bb1cebbe9b92c6cd6f

e032e6071e2ac1bc4c41359b82be27c4

原文《攻擊者利用漏洞控制了服務(wù)器，還沒想明白要干什么……》

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/