黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過

    跳過將刪除所有初始化信息

    攻擊者利用GitLab遠(yuǎn)程命令執(zhí)行漏洞攻擊云主機(jī) 植入Gitlab-daemon木馬

    安全 2021-11-25 17:57

    聲明:該文章來自(騰訊安全威脅情報中心)版權(quán)由原作者所有,K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

    一、概述

    騰訊安全威脅情報中心檢測到,有攻擊者正在積極利用GitLab遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205)攻擊云主機(jī),同時植入新型后門木馬Gitlab-daemon,該后門木馬的攻擊活動已被騰訊安全通過Cyber-Holmes引擎全程分析掌握。


    分析發(fā)現(xiàn),攻擊者控制目標(biāo)系統(tǒng)后頻繁更新后門程序,推測后續(xù)投遞風(fēng)險更大的惡意載荷的可能性較大。我們再次提醒企業(yè)應(yīng)及時修復(fù)Gitlab遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205),該漏洞評分為最高級的10分,風(fēng)險極高。


    攻擊者首先將后門偽裝為看似隨機(jī)名的.gz文件,再嘗試調(diào)用gunzip進(jìn)行解壓后執(zhí)行,借此偽裝其惡意命令執(zhí)行操作。后門執(zhí)行后將自身植入*/gitlab/git-data目錄下,用Gitlab-daemon文件名偽裝,以欺騙運維人員。然后寫入計劃任務(wù)啟動項,此時后門并不直接連接C2,而是先行退出,等待計劃任務(wù)下一次將其拉起時,再執(zhí)行更進(jìn)一步的惡意功能代碼。


    多處細(xì)節(jié)表明攻擊者希望將自身偽裝為gitlab系統(tǒng)文件,以實現(xiàn)對目標(biāo)系統(tǒng)的長久控制。


    2021年4月14日,GitLab官方發(fā)布安全公告,披露并修復(fù)了一個遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-22205)。漏洞等級為“嚴(yán)重”,CVSS初始評分9.9,2021年9月21日,官方將漏洞評分升級到最高的10分。2021年10月28日后,該漏洞的技術(shù)細(xì)節(jié)被披露,騰訊安全已捕獲多個惡意病毒家族利用該漏洞大肆攻擊云主機(jī)。


    Cyber-Holmes引擎,寓意為“網(wǎng)絡(luò)空間威脅神探”。該系統(tǒng)針對海量威脅告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,可以將碎片化的威脅片斷復(fù)原拼接還原出完整攻擊過程?!癈yber-Holmes“引擎能力已接入騰訊主機(jī)安全(云鏡)、騰訊云安全運營中心(云SOC),以增強(qiáng)各安全產(chǎn)品關(guān)聯(lián)分析威脅事件的能力。


    二、詳細(xì)技術(shù)分析

    2.1 漏洞初始攻擊

    通過騰訊云防火墻檢測攔截數(shù)據(jù)發(fā)現(xiàn),有攻擊者使用GitLab遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205)攻擊云主機(jī),植入惡意腳本。


    惡意腳本載荷地址:hxxp://37.49.229.172/i.php


    2.2 I.PHP(漏洞攻擊初始載荷)

    惡意腳本執(zhí)行后,進(jìn)一步拉取云端配置名為file的惡意木馬,植入本地tmp目錄下命名為tmp.nthD5UFtoZ.gz,同時對C2發(fā)送post請求上報感染成功記錄。


    file惡意載荷地址:

    hxxp://37.49.229.172/file


    惡意感染-上報C2地址:

    hxxp://37.49.229.172/up.php


    2.3 file(Gitlab-daemon后門)

    惡意載荷為ELF文件,第一次運行后偽裝自身到gitlab/git-data目錄,模塊名偽裝為gitlab-daemon,并添加計劃任務(wù)持久化,隨后退出,等待計劃任務(wù)將其再次拉起后進(jìn)一步執(zhí)行其它惡意代碼。


    分析該模塊為惡意后門文件,后門功能運行前存在兩處網(wǎng)絡(luò)校驗,校驗均通過后會拉取云端配置的其它木馬載荷運行,校驗失敗則進(jìn)入循環(huán)休眠狀態(tài),每86.4秒再次判斷云端校驗開關(guān)是否打開:


    1)nslookup解析惡意(teknowmuzical.top)域名,如果為1.1.1.1放棄后續(xù)惡意模塊拉取行為(該域名于2021.11.23開始配置有效的惡意解析記錄)。


    2)從解析到的惡意服務(wù)地址獲取robots.txt文件,判斷返回指令大于3情況下,進(jìn)一步拉取其它惡意載荷執(zhí)行(分析時測試當(dāng)前返回1,依然未開啟)。


    2.4 惡意域名(teknowmuzical.top)

    注冊于5天前,在2011.11.23開始存在惡意解析記錄,vt查詢該域名目前尚無廠商將其標(biāo)識為“風(fēng)險”。


    惡意域名(teknowmuzical.top)當(dāng)前解析到惡意地址:37.49.229.172


    當(dāng)前tobots.txt校驗返回1,因此并不會觸發(fā)后門下放功能,暫不觸發(fā)后門中預(yù)埋的惡意載荷。


    2.5 后門預(yù)留載荷

    分析后門代碼邏輯可知,當(dāng)云端二重校驗均通過情況下,攻擊者在代碼內(nèi)預(yù)埋了4個下放攻擊載荷,包含一個針對ARM架構(gòu)下的惡意載荷,以及3個其它架構(gòu)下的惡意載荷(Linux操作系統(tǒng)發(fā)行主版本號為3、4、5開頭的系列版本適配木馬)。


    雖然云端二重校驗當(dāng)前還未開啟,但攻擊者在其對應(yīng)的云端地址上已經(jīng)放置了與其file載荷預(yù)埋鏈接對應(yīng)的4個模塊,因此我們可以獲取到當(dāng)前放置的預(yù)埋惡意載荷。分析發(fā)現(xiàn),目前攻擊者配置的后門下放模塊本與file后門代碼功能一致,區(qū)別在于一些細(xì)節(jié)的處理。

    例如下圖左側(cè)后門版本使用nslookup進(jìn)行域名解析,圖片右側(cè)后門版本創(chuàng)建socket連接dns服務(wù)器進(jìn)行域名解析。


    例如下圖左側(cè)版本在惡意代碼執(zhí)行入口前增加了gdb反調(diào)試功能,右側(cè)版本沒有反調(diào)試功能。


    通過其配置的下放模塊upgrade模塊名也可知,攻擊者目前正在積極利用初始版本后門不斷植入新的upgrade版本后門,頻繁的進(jìn)行后門本身維護(hù)更新。從惡意域名開始解析的2021.11.23到2021.11.25三天內(nèi),攻擊者后門已經(jīng)更新了至少5個版本。


    三、威脅處置操作手冊

    【產(chǎn)品解決方案】

    1.【清理】

    云主機(jī)用戶可使用騰訊主機(jī)安全的快掃功能,清理查殺Gitlab-daemon后門木馬:

    通過騰訊主機(jī)安全(云鏡)控制臺,入侵檢測->文件查殺,檢測全網(wǎng)資產(chǎn),檢測惡意文件,若發(fā)現(xiàn),可進(jìn)行一鍵隔離操作。


    步驟如下:

    A: 主機(jī)安全(云鏡)控制臺:入侵檢測->文件查殺,選擇一鍵檢測:


    B:彈出一鍵檢測設(shè)置,選擇快速掃描,全部專業(yè)版主機(jī)后開啟掃描:


    C:查看掃描出的木馬風(fēng)險結(jié)果項



    D:對木馬文件進(jìn)行一鍵隔離(注意勾選隔離同時結(jié)束木馬進(jìn)程選項)


    2.【加固】

    云主機(jī)可使用騰訊主機(jī)安全(云鏡)的漏洞檢測修復(fù)功能,協(xié)助用戶快速修補(bǔ)相關(guān)高危漏洞,用戶可登錄騰訊主機(jī)安全控制臺,依次打開左側(cè)“漏洞管理”,對掃描到的系統(tǒng)組件漏洞、web應(yīng)用漏洞、應(yīng)用漏洞進(jìn)行排查。


    步驟細(xì)節(jié)如下:

    A:主機(jī)安全(云鏡)控制臺:打開漏洞管理->Web應(yīng)用漏洞管理,點擊一鍵檢測


    B:查看掃描到的GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞風(fēng)險項目


    C:確認(rèn)資產(chǎn)存在GitLab exiftool遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞。運維登錄資產(chǎn)后,升級GitLab exiftool 到最新版本。


    D:回到主機(jī)安全(云鏡)控制臺再次打開“漏洞管理”,重新檢測確保資產(chǎn)已不受GitLab exiftool 遠(yuǎn)程代碼執(zhí)行漏洞攻擊(CVE-2021-22205)漏洞影響。


    3.【防御】

    騰訊云防火墻支持對Gitlab-daemon后門木馬使用的漏洞攻擊進(jìn)行檢測防御,即使因某些原因?qū)е侣┒葱迯?fù)延誤,客戶也可以開通騰訊云防火墻高級版進(jìn)行有效防御:


    在騰訊云控制臺界面,打開入侵防御設(shè)置即可。


    【手動清理Gitlab-daemon后門】

    進(jìn)程

    排查結(jié)束以下gitlab-daemon惡意進(jìn)程


    文件

    排查清理var/opt/gitlab/git-data/gitlab-daemon惡意文件


    計劃任務(wù)

    排查清理以下惡意計劃任務(wù)


    【加固建議】

    1.如無必要,不要將Gitlab接口開放在公網(wǎng),改為本地或者內(nèi)網(wǎng)調(diào)用,如必須開放盡量配置好訪問白名單。


    2.升級Gitlab最新版本,不同版本升級策略略有差異,步驟可參考官方文檔

    https://docs.gitlab.com/ee/update/index.html


    IOCs

    IP

    37.49.229.172


    DOMAIN

    teknowmuzical.top


    URL

    hxxp://37.49.229.172/i.php

    hxxp://37.49.229.172/file

    hxxp://37.49.229.172/up.php


    MD5

    749476d5d35a5ba63ef285cad8fff9ba

    e032e6071e2ac1bc4c41359b82be27c4

    78a8049c428decd2692a1bc0bca145a6

    19d3f16a4bb7a5ed3c64f53df72e47a8

    53e52d90d2bf56bb1cebbe9b92c6cd6f

    e032e6071e2ac1bc4c41359b82be27c4


    原文《攻擊者利用漏洞控制了服務(wù)器,還沒想明白要干什么……》

    關(guān)注我們

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    圖庫