警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame

  • 来源:深信服安全中心
  • 发布时间:2019-04-24
#

事件描述

一、现象描述

   近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。

   感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

1.jpg

另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。

2.jpg

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。


二、详细分析

2.1 母体脚本

一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑shell命令。

3.jpg

根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:

4.jpg

下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。=:

5.jpg

创建crontab定时任务:

6.jpg

创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:

7.jpg

删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。

8.jpg

创建cloud_agent.service服务:

9.jpg

cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:

10.jpg


2.2 挖矿程序

1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:

12.jpg

2.生成/temp/ec2a6文件,如下所示:

13.png

生成的文件,如下所示:

14.png

3.生成/var/tmp/f41,如下所示:

15.png

4.生成de33f4f911f20761,如下所示:

16.png

生成的文件,如下所示:

17.png

5.获取主机CPU信息,如下所示:

18.png

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:

19.png

7.然后拼接不同的端口号,组成相应的矿池地址,如下所示:

20.png

组合成的矿池地址列表,如下所示:

51.38.133.232:443

51.15.56.161:80

51.38.133.232:21

51.15.56.161:20

51.38.133.232:53

51.15.56.161:53

51.38.133.232:162

51.15.56.161:161

51.38.133.232:990

51.15.56.161:989

51.38.133.232:1111

51.15.56.161:1111

51.38.133.232:2222

51.15.56.161:2222

51.38.133.232:3333

51.15.56.161:3333

51.38.133.232:4444

51.15.56.161:4444

51.38.133.232:8181

51.15.56.161:8080

51.38.133.232:25200

51.15.56.161:25400


8.创建子进程,进行挖矿操作,如下所示:

21.png

创建挖矿进程过程,如下所示:

22.png

相应的进程信息,如下所示:

23.png

top进程信息,如下所示:

24.png

9.挖矿进程相关参数,如下所示:

25.png捕获到的相应的流量数据包,如下所示:

26.png

挖矿相关流量数据包,如下所示:

27.png

矿池IP地址为矿池地址列表中的:51.38.133.232:443


10.连接远程矿池地址,如下所示:

28.png

请求连接51.15.56.161,如下所示:

29.png

获取到的流量数据,如下所示:

30.png

如果连接失败,则请求连接51.38.133.232,如下所示:

31.png

返回相应的数据,如下所示:

32.png

获取到的流量数据,如下所示:

33.png

拼接相应的内容,如下所示:

34.png

然后将获取的内容,写入到/temp/yayscript.sh脚本中,并通过bash执行sh脚本,如下所示:

35.png

yayscript.sh的内容,如下所示:

36.png

 

三、IOC

URL:

hxxp://51.15.56.161:443/86su[.]jpg

hxxp://51.15.56.161:443/86du[.]jpg

hxxp://51.15.56.161:443/86s[.]jpg

hxxp://51.15.56.161:443/86d[.]jpg

hxxp://51.15.56.161:443/46su[.]jpg

hxxp://51.15.56.161:443/46du[.]jpg

hxxp://51.15.56.161:443/46s[.]jpg

hxxp://51.15.56.161:443/46d[.]jpg

hxxp://51.15.56.161:443/83su[.]jpg

hxxp://51.15.56.161:443/83du[.]jpg

hxxp://51.15.56.161:443/83s[.]jpg

hxxp://51.15.56.161:443/83d[.]jpg

hxxp://51.15.56.161:443/43su[.]jpg

hxxp://51.15.56.161:443/43du[.]jpg

hxxp://51.15.56.161:443/43s[.]jpg

hxxp://51.15.56.161:443/43d[.]jpg

hxxp://51.15.56.161:443/a6u[.]jpg

hxxp://51.15.56.161:443/a6[.]jpg

 

MD5:

CD4BF850A354A80EB860586D253A4385

D71EB083E7943F0641982797C09F3E73

解决方案

1、深信服为广大用户免费提供针对seasame病毒的专杀工具,可下载如下工具,进行检测查杀。

http://edr.sangfor.com.cn/tool/clear_seasame.sh


38.jpg