记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

AESDDoS利用CVE-2019-3396进行远程代码执行、DDOS攻击和加密货币挖矿

2019-05-04 12:25

CVE-2019-3396是Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。

Trendmicro的蜜罐系统近期检测到AESDDoS僵尸网络恶意软件变种,该变种利用了Atlassian Confluence服务器中Widget Connector宏的CVE-2019-3396漏洞。研究人员发现该恶意软件变种可以在运行有漏洞Confluence服务器和数据中心的系统上可以执行DDOS攻击、远程代码执行和加密货币挖矿。Atlassian已经着手修改这些问题,并建议用户尽快升级到最新版本(6.15.1)。

image.png

表1  受影响的Atlassian Confluence服务器和数据最新版本以及建议修复版本

AESDDoS僵尸网络恶意软件变种

分析中,研究人员发现攻击者利用CVE-2019-3396漏洞来使机器感染AESDDoS僵尸网络恶意软件。还会远程执行shell命令来下载和执行恶意shell脚本(Trojan.SH.LODEX.J),该shell脚本会下载另外一个shell脚本最终在受影响的系统上安装AESDDOS僵尸网络恶意软件。

Figure 1. Code snippet of the abuse of CVE-2019-3396 via Trojan.SH.LODEX.J. The second line shows Trojan.SH.LODEX.J being downloaded from its C&C server while the third line shows the execution.

图1. 通过Trojan.SH.LODEX.J滥用CVE-2019-3396漏洞的代码段

上图中第2行表明从C2服务器下载Trojan.SH.LODEX.J,第3行表示执行下载的恶意shell脚本。

AESDDoS恶意软件变种可以启动不同类型的DDOS攻击,包括SYN, LSYN, UDP, UDPS, TCP洪泛攻击。恶意软件可以连接到23[.]224[.]59[.]34:48080来发送和接收来自攻击者的远程shell命令。

Figure 2. Code snippet of the AESDDoS variant connecting to 23[.]224[.]59[.]34:48080

图2. AESDDoS变种连接到23[.]224[.]59[.]34:48080的 代码段

 Figure 3. Code snippet of the AESDDoS variant executing remote shell commands

图3. AESDDoS变种执行远程shell命令的代码段

僵尸网络恶意软件变种也会从受感染的系统上窃取信息。获取系统的Model ID 、CPU描述、速度、品牌、型号和类型。

Figure 4. Code snippet showing the AESDDoS variant stealing an affected system’s CPU information

图4. AESDDoS变种窃取受感染系统CPU信息的代码段

窃取的系统信息和C2数据都会用AES算法加密,然后用AESDDoS变种的cmdshell函数来加载加密货币挖矿机。

除了以上功能外,AESDDoS还可以修改文件,比如/etc/rc.local 和/etc/rc.d/rc.local,通过在文件中加入{malware path}/{malware file name} reboot命令来完成自动重启的功能。

安全建议

对软件开发过程进行持续监控可以标记服务器、数据中心和其他计算环境的安全风险。对Atlassian Confluence服务器中存在的CVE-2019-3396漏洞的成功利用会将资源置于危险中,企业应该能够识别这些漏洞,使用最新的关于恶意软件和漏洞利用的威胁情报,来检测应用设计和底层基础设施产生的变化。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/aesddos-botnet-malware-exploits-cve-2019-3396-to-perform-remote-code-execution-ddos-attacks-and-cryptocurrency-mining/如若转载,请注明原文地址: http://www.hackdig.com/05/hack-54949.htm
知识来源: https://www.4hou.com/vulnerable/17731.html

阅读:72583 | 评论:0 | 标签:漏洞 CVE-2019-3396 ddos 加密

想收藏或者和大家分享这篇好文章→复制链接地址

“AESDDoS利用CVE-2019-3396进行远程代码执行、DDOS攻击和加密货币挖矿”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云