利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析

這期內容當中小編將會給大家帶來有關利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

一、現象描述

近日，深信服EDR產品率先檢測到一款新型Linux挖礦木馬，經深信服安全專家分析，該病毒利用Confluence漏洞傳播，通過定時下載對病毒體進行保活，同時由于病毒會殺掉包含“https://”、“http://”的進程，將導致用戶無法下載文件及訪問網頁，挖礦進程會導致服務器出現卡頓等異常現象。深信服安全團隊對該挖礦木馬進行了詳細的技術分析，并根據其母體文件名將其命名為seasame。

感染該木馬后現象如下，可以看到一個CPU占用異常高的vmlinuz進程以及3個采用7位隨機字符拼湊的進程。

另外，還會出現無法使用wget和curl命令，以及無法打開瀏覽器等問題。

該病毒目前的傳播途徑主要是利用Confluence近期公布的遠程代碼執行漏洞CVE-2019-3396和CVE-2019-3398，這里提醒有安裝該軟件的用戶需要注意進行防御。

二、詳細分析

2.1 母體腳本

一些初始化變量如下，其中entropy為C&C服務器字符串的翻轉，C&C服務器地址為51[.]15[.]56[.]161[:]443；變量new_bash、new_dog、new_killbot、omelette為后面要創建的文件名，均由7位隨機的字符串組成，后面描述這些文件時都直接使用其對應的變量名；_b，_j等變量用于拼湊shell命令。

根據是否存在vmlinuz進程及其CPU占用是否超過30%，判斷系統是否已經感染，如果已經感染則殺掉其他CPU占用高于30%的進程并退出腳本：

下載挖礦程序omelette及母體腳本seasame到/tmp目錄下，并執行挖礦程序。

創建crontab定時任務：

創建的定時任務如下，每隔5分鐘都會從C&C服務器下載母體腳本seasame到/tmp目錄下并執行：

刪除iptables命令，將wget重命名為wgetak，curl命令重命名為curlak。

創建cloud_agent.service服務：

cloud_agent.service服務如下，同樣用于下載并執行母體腳本seasame：

將bash命令復制到當前目錄，然后分別執行3個腳本。new_dog：守護挖礦進程；new_killbot：清除除vmlinuz以外，CPU占用大于30%的進程；prot：殺掉包含“https://”、“http://”、“eval”的進程。

2.2 挖礦程序

1.打開相應的文件，如果文件不存在，則生成相應的文件，如下所示：

2.生成/temp/ec2a6文件，如下所示：

生成的文件，如下所示：

3.生成/var/tmp/f41，如下所示：

4.生成de33f4f911f20761，如下所示：

生成的文件，如下所示：

5.獲取主機CPU信息，如下所示：

6.解密出相應的礦池IP地址:51.38.133.232、51.15.56.161，如下所示：

7.然后拼接不同的端口號，組成相應的礦池地址，如下所示：

組合成的礦池地址列表，如下所示：

51.38.133.232:44351.15.56.161:8051.38.133.232:2151.15.56.161:2051.38.133.232:5351.15.56.161:5351.38.133.232:16251.15.56.161:16151.38.133.232:99051.15.56.161:98951.38.133.232:111151.15.56.161:111151.38.133.232:222251.15.56.161:222251.38.133.232:333351.15.56.161:333351.38.133.232:444451.15.56.161:444451.38.133.232:818151.15.56.161:808051.38.133.232:2520051.15.56.161:25400

8.創建子進程，進行挖礦操作，如下所示：

創建挖礦進程過程，如下所示：

相應的進程信息，如下所示：

top進程信息，如下所示：

9.挖礦進程相關參數，如下所示：

捕獲到的相應的流量數據包，如下所示：

挖礦相關流量數據包，如下所示：

礦池IP地址為礦池地址列表中的：51.38.133.232:443

10.連接遠程礦池地址，如下所示：

請求連接51.15.56.161，如下所示：

獲取到的流量數據，如下所示：

如果連接失敗，則請求連接51.38.133.232，如下所示：

返回相應的數據，如下所示：

獲取到的流量數據，如下所示：

拼接相應的內容，如下所示：

然后將獲取的內容，寫入到/temp/yayscript.sh腳本中，并通過bash執行sh腳本，如下所示：

yayscript.sh的內容，如下所示：

三、解決方案

病毒檢測查殺

1、深信服為廣大用戶免費提供針對seasame病毒的專殺工具，可下載如下工具，進行檢測查殺。

下載鏈接：http://edr.sangfor.com.cn/tool/clear_seasame.sh

上述就是小編為大家分享的利用Confluence最新漏洞傳播的Linux挖礦病毒seasame的示例分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。