亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

發布時間:2021-11-25 15:35:24 來源:億速云 閱讀:328 作者:柒染 欄目:編程語言

這期內容當中小編將會給大家帶來有關利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

一、現象描述

近日,深信服EDR產品率先檢測到一款新型Linux挖礦木馬,經深信服安全專家分析,該病毒利用Confluence漏洞傳播,通過定時下載對病毒體進行保活,同時由于病毒會殺掉包含“https://”、“http://”的進程,將導致用戶無法下載文件及訪問網頁,挖礦進程會導致服務器出現卡頓等異常現象。深信服安全團隊對該挖礦木馬進行了詳細的技術分析,并根據其母體文件名將其命名為seasame。

感染該木馬后現象如下,可以看到一個CPU占用異常高的vmlinuz進程以及3個采用7位隨機字符拼湊的進程。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

另外,還會出現無法使用wget和curl命令,以及無法打開瀏覽器等問題。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

該病毒目前的傳播途徑主要是利用Confluence近期公布的遠程代碼執行漏洞CVE-2019-3396和CVE-2019-3398,這里提醒有安裝該軟件的用戶需要注意進行防御。

二、詳細分析

2.1 母體腳本

一些初始化變量如下,其中entropy為C&C服務器字符串的翻轉,C&C服務器地址為51[.]15[.]56[.]161[:]443;變量new_bash、new_dog、new_killbot、omelette為后面要創建的文件名,均由7位隨機的字符串組成,后面描述這些文件時都直接使用其對應的變量名;_b,_j等變量用于拼湊shell命令。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

根據是否存在vmlinuz進程及其CPU占用是否超過30%,判斷系統是否已經感染,如果已經感染則殺掉其他CPU占用高于30%的進程并退出腳本:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

下載挖礦程序omelette及母體腳本seasame到/tmp目錄下,并執行挖礦程序。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

創建crontab定時任務:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

創建的定時任務如下,每隔5分鐘都會從C&C服務器下載母體腳本seasame到/tmp目錄下并執行:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

刪除iptables命令,將wget重命名為wgetak,curl命令重命名為curlak。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

創建cloud_agent.service服務:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

cloud_agent.service服務如下,同樣用于下載并執行母體腳本seasame:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

將bash命令復制到當前目錄,然后分別執行3個腳本。new_dog:守護挖礦進程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的進程;prot:殺掉包含“https://”、“http://”、“eval”的進程。

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

2.2 挖礦程序

1.打開相應的文件,如果文件不存在,則生成相應的文件,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

2.生成/temp/ec2a6文件,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

生成的文件,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

3.生成/var/tmp/f41,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

4.生成de33f4f911f20761,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

生成的文件,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

5.獲取主機CPU信息,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

6.解密出相應的礦池IP地址:51.38.133.232、51.15.56.161,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

7.然后拼接不同的端口號,組成相應的礦池地址,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

組合成的礦池地址列表,如下所示:

51.38.133.232:44351.15.56.161:8051.38.133.232:2151.15.56.161:2051.38.133.232:5351.15.56.161:5351.38.133.232:16251.15.56.161:16151.38.133.232:99051.15.56.161:98951.38.133.232:111151.15.56.161:111151.38.133.232:222251.15.56.161:222251.38.133.232:333351.15.56.161:333351.38.133.232:444451.15.56.161:444451.38.133.232:818151.15.56.161:808051.38.133.232:2520051.15.56.161:25400

8.創建子進程,進行挖礦操作,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

創建挖礦進程過程,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

相應的進程信息,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

top進程信息,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

9.挖礦進程相關參數,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

捕獲到的相應的流量數據包,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

挖礦相關流量數據包,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

礦池IP地址為礦池地址列表中的:51.38.133.232:443

10.連接遠程礦池地址,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

請求連接51.15.56.161,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

獲取到的流量數據,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

如果連接失敗,則請求連接51.38.133.232,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

返回相應的數據,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

獲取到的流量數據,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

拼接相應的內容,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

然后將獲取的內容,寫入到/temp/yayscript.sh腳本中,并通過bash執行sh腳本,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

yayscript.sh的內容,如下所示:

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

三、解決方案

病毒檢測查殺

1、深信服為廣大用戶免費提供針對seasame病毒的專殺工具,可下載如下工具,進行檢測查殺。

下載鏈接:http://edr.sangfor.com.cn/tool/clear_seasame.sh

利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

上述就是小編為大家分享的利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

平南县| 中西区| 山丹县| 大厂| 长沙市| 东明县| 永年县| 南川市| 广东省| 漾濞| 永丰县| 河源市| 拜城县| 莱西市| 岳阳市| 晋州市| 新巴尔虎左旗| 雅安市| 西青区| 大石桥市| 诸暨市| 望江县| 上杭县| 公主岭市| 凯里市| 大港区| 侯马市| 白城市| 三穗县| 花垣县| 台安县| 海原县| 松溪县| 繁昌县| 东乡族自治县| 承德县| 祥云县| 卢湾区| 安西县| 大庆市| 涟源市|