Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

admin 2021年12月18日22:15:15安全新闻评论137 views2753字阅读9分10秒阅读模式

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

长按二维码关注

腾讯安全威胁情报中心




一、概述

腾讯安全威胁情报中心检测发现Mirai僵尸网络利用Apache Flink 任意文件上传漏洞(CVE-2020-17518)攻击云主机,得手后会植入Mirai僵尸木马。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或通过受控主机挖矿牟利,中招系统正常服务会受性能下降影响,已部署腾讯云防火墙的云主机可以直接防御漏洞攻击而不受影响。


以往Mirai家族的这一分支主要使用Hadoop YARN未授权漏洞入侵云主机,同时利用物联网设备漏洞对部分AVTECH厂商下的智能摄像头设备进行感染。本次攻击活动利用Apache Flink漏洞(CVE-2020-17518)攻击,而采用该组件的云主机数量庞大。


腾讯安全网络空间测绘结果显示,采用Apache Flink的服务器分布于世界各地。中国远超其他国家位居首位,占比超过60%。美国、德国分列第2、3位。中国大陆地区,浙江、北京、上海、广东四省市占比超过80%。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


腾讯安全专家提醒政企客户注意修复Apache Flink安全漏洞,腾讯安全全系列产品均已支持检测防御本次威胁。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

清理&加固
排查以下可疑进程&文件
随机名进程&路径为/tmp/Cisco.x86


加固
建议升级Flink 到无漏洞版本。




二、腾讯安全解决方案

已部署腾讯云防火墙的用户不会受本次攻击影响,腾讯云防火墙已支持对Mirai僵尸网络变种利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


腾讯Web应用防火墙(WAF)支持防御Mirai僵尸网络所利用的多种漏洞攻击。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


腾讯主机安全(云镜)可检测清除Mirai木马样本落地,客户登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。腾讯主机安全同时支持检测高危漏洞或弱口令风险,支持通过基线检测全面提升主机安全等级。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


腾讯主机安全(云镜)可对Mirai木马入侵后下载执行高危命令进行告警。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


私有云客户可旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Mirai僵尸网络发起的Apache Flink 任意文件上传漏洞攻击(CVE-2020-17518) 行为。

Mirai僵尸网络利用Apache Flink任意文件上传漏洞 (CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


企业客户可旁路部署腾讯天幕(NIPS)实时拦截Mirai僵尸网络的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截




三、详细分析

腾讯云防火墙检测到Mirai僵尸网络使用Apache Flink任意文件上传漏洞(CVE-2020-17518) 攻击,植入恶意jar包后执行恶意接口指令,进一步对失陷云主机进行控制。

Mirai僵尸网络利用Apache Flink任意文件上传漏洞 (CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


植入的*_dc-chenk.jar包后门,其功能是执行任意命令。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


Mirai僵尸网络的操纵者保留了一贯的物联网攻击方式:针对AVTECH厂商下的IOT设备进行漏洞攻击传播。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


通过日志可以发现,攻击者保留了通过Hadoop YARN未授权漏洞入侵。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或挖矿牟利。由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备用户很多并不知道系统早已被控制,也较少对设备固件进行升级。除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙掌控。

该Mirai分支入侵后最终投递载荷与以往版本对比观察,发现样本无太大变化,使用DWORD从高到低单字节异或的方式对所有的内部硬编码字串进行加密,Key自定义修改为0x6E75636C。通过从字串“9u123448u124au814d4x10”中提取字符组合后修改为自身随机进程名。连接C2地址67.205.159.121:50010接受指令,当前版本移除了SSH爆破传播功能。




威胁视角看攻击行为

ATT&CK阶段

行为

侦察

通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:Apache FlinkHadoop等。

资源开发

注册C2服务器

初始访问

利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload

执行

利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马

防御规避

僵尸网络木马伪装自身随即名,意图躲避运维人员排查追踪。

发现

通过扫描目标开放端口信息以确认后续攻击方式

影响

Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。


IOCs

MD5

9df51fd1719492b13a7c2ec150ceda96
1e6e3993c531914f30ab858b0fd585f6
d38cdadfb1ec91ad9dfc59af68073070
fe1285bc2879d6f37a1dc6606cae8b0f


IP
168.138.143.186
67.205.159.121


URL

hxxp://168.138.143.186/Mirror/Linux.arm
hxxp://168.138.143.186/Mirror/Linux.arm5
hxxp://168.138.143.186/Mirror/Linux.arm6
hxxp://168.138.143.186/Mirror/Linux.arm7
hxxp://168.138.143.186/Mirror/Linux.m68k
hxxp://168.138.143.186/Mirror/Linux.mips
hxxp://168.138.143.186/Mirror/Linux.mpsl
hxxp://168.138.143.186/Mirror/Linux.ppc
hxxp://168.138.143.186/Mirror/Linux.sh
hxxp://168.138.143.186/Mirror/Linux.spc
hxxp://168.138.143.186/Mirror/Linux.x86


Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

长按二维码关注

腾讯安全威胁情报中心

Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

本文始发于微信公众号(腾讯安全威胁情报中心):Mirai僵尸网络利用Apache Flink任意文件上传漏洞 (CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月18日22:15:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Mirai僵尸网络利用ApacheFlink任意文件上传漏洞(CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截 https://cn-sec.com/archives/449501.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: