智云盾捕获多个僵尸网络利用最新 ConfluenceRCE 漏洞的活动

一、背景

8 月 25 日，Atlassian 官方发布公告，公布了一个最新的远程代码执行漏洞，多个版本 Confluence 服务存在漏洞。9 月 7 日，智云盾威胁中心检测到 BillGates、Muhstik 僵尸网络利用该漏洞的多个攻击活动。智云盾威胁中心建议 Confluence 用户尽快采取安全措施避免被利用攻击。

漏洞时间线：

图 1 漏洞时间线

• 8 月 25 日，Atlassian 官方发布安全公告，披露了 Confluence 远程代码执行漏洞（CVE-2021-26084）,攻击者利用漏洞可以远程任意代码执行；

• 8 月 25 日，智云盾开始监控僵尸网络的威胁 IP：79.172.212.132；

• 9 月 1 日，首个漏洞 POC 在 Github 公开；

• 9 月 7 日，智云盾威胁中心发现威胁 IP：79.172.212.132 对观测节点发起漏洞扫描；

• 9 月 7 日，智云盾监测到 Muhstik 僵尸网络利用该漏洞的攻击；

• 9 月 14 日，智云盾监测到僵尸网络 BillGates 使用该漏洞进行僵尸网络恶意文件投递；

• 9 月 16 日，智云盾监测到僵尸网络 BillGates 使用该漏洞对某公司官网进行 DDoS 攻击；

  
  

  
  

二、漏洞利用流程

图 2 漏洞利用流程图

三、样本分析

智云盾威胁检测中心主要捕获到的是 BillGates 和 Muhstik 僵尸网络利用 CVE-2021-26084 漏洞的攻击，我们对两个僵尸网络的样本做了详细分析，下面是对 Muhstik 的分析过程：

1、9 月 7 日，智云盾在多个节点都捕获到了 Muhstik 僵尸网络的 payload，Muhstik 通过漏洞分发恶意样本，会从两个恶意样本服务器 149.28.85.17、194.31.52.174 上下载 conf2 脚本，下面是 payload 详情：

图 3 利用 ConfluenceRE 漏洞的 payload

2、Muhstik 僵尸网络样本在被攻击服务器上执行 conf2 脚本，下载二进制文件 dk86 和两个脚本文件（m8、ldm），随后的分析中我们发现 dk86 文件中包含多个僵尸网络功能，m8 和 ldm 脚本均为该僵尸网络的横向感染脚本。下面是从 conf2 脚本文件中下载文件的 shell 脚本

图 4 conf2 脚本内的下载指令

3、我们下载了 dk86 程序，经过逆向分析后，发现它的通过连接到 C2 来接收指令，从而实现以下几个功能：下载文件、端口扫描、暴力破解和 DDoS、CC 攻击，下图展示了 dk86 程序中的函数：

图 5 dk86 程序中的函数

4、我们下载 ldm 和 m8 脚本，进行详细分析，分析发现这是 Muhstik 僵尸网络的横向传播脚本，下面展示了横向传播的详细过程，主要包括以下四个步骤：

A 启用 root 权限，并修改 rm、curl、wget 等命令的名称

图 6 修改系统命令

B 写入主控端的 ssh 公钥，修改 ssh 配置，并杀死其他挖矿程序，释放系统资源

图 7 修改 ssh 配置并杀死挖矿程序

C 遍历主机上的用户，通过查看系统各文件来枚举 ssh 密钥

图 8 查询可远程登录的 ssh 用户

D 通过 ssh 远程命令从 ip：34.221.40.237 上执行下载名称包含 pty 的 Muhstik 僵尸网络的主程序和横向感染程序 ldm，该 pty 程序确定为二进制文件 IRC bot，支持多平台包括 ARM、MIPS、x64 和 x86。主要功能包括发起 DDoS 攻击，以及暴力破解和端口扫描等功能。

图 9 通过 ssh 远程命令横向感染主机

四、沙箱流量分析

我们在对两个样本进行分析时，BillGates 僵尸网络的木马程序正在对外进行 DDoS 攻击，我们抓包分析出入向流行，分析流量发现以下几个行为：端口扫描、与 C&C 域名通信和对外发送 udp 小包攻击，下面为实际捕获的流量：

1、木马程序对大量 ip 进行 syn 扫描：

图 10 木马程序 SYN 扫描

2、僵尸网络使用的 C&C 域名：300gsyn.it，域名解析 IP 地址为 155.94.178.138（美国 加州）

图 11 木马程序与 C&C 域名通信

3、木马程序对外发送 udp 小包攻击：

图 12 对外发送 UDP 小包攻击

五、总结

CVE-2021-26084 漏洞自披露以来，已经被多个黑客团伙纳入其武器包，试图通过互联网上存在漏洞的 Confluence 服务器来传播僵尸网络。通常来说漏洞越新，往往越容易利用成功，近期利用该漏洞传播的活动频发，正说明黑客团伙也在时刻关注新型漏洞。

六、处置建议

1、使用 Confluence 用户和企业，关注官方公告获得最新漏洞补丁和配置更新

2、对于感染了僵尸网络的恶意程序，参考以下方式修复系统：

a、修复系统命令，上传如下命令到/root 下：lsattr、chattr、ps、netstat、ss、lsof

b、删除如下目录及文件：

/root/conf.n

/root/cmd.n

/root/moni.lod

/etc/rc.d/*rc*

c、使用 top 命令找到 cpu 利用率特高的恶意程序进程号并杀死

相关 IOC 信息：

149.28.85[.]17（美国）

194.31.52[.]174（罗马尼亚）

34.221.40[.]237（美国 ）

153.121.58[.]102（日本 ）

18.235.127[.]50（美国）

http://3.10.224.87/[.a]/dk86

http://149.28.85.17/[c]onf2

http://153.121.58.102:80/wp-content/[themes]/zuki/m8

http://18.235.127.50/[l]dm

http://34.221.40.237/.x/[1]sh

http://34.221.40.237/.x/[p]ty1

http://157.230.189.52/wp-content/themes/twentynineteen/[l]dm

点击进入了解更多技术资讯~~