长按二维码关注
腾讯安全威胁情报中心
一、概述
腾讯安全威胁情报中心检测发现Mirai僵尸网络利用Apache Flink 任意文件上传漏洞(CVE-2020-17518)攻击云主机,得手后会植入Mirai僵尸木马。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或通过受控主机挖矿牟利,中招系统正常服务会受性能下降影响,已部署腾讯云防火墙的云主机可以直接防御漏洞攻击而不受影响。
以往Mirai家族的这一分支主要使用Hadoop YARN未授权漏洞入侵云主机,同时利用物联网设备漏洞对部分AVTECH厂商下的智能摄像头设备进行感染。本次攻击活动利用Apache Flink漏洞(CVE-2020-17518)攻击,而采用该组件的云主机数量庞大。
腾讯安全网络空间测绘结果显示,采用Apache Flink的服务器分布于世界各地。中国远超其他国家位居首位,占比超过60%。美国、德国分列第2、3位。中国大陆地区,浙江、北京、上海、广东四省市占比超过80%。
腾讯安全专家提醒政企客户注意修复Apache Flink安全漏洞,腾讯安全全系列产品均已支持检测防御本次威胁。
清理&加固
排查以下可疑进程&文件
随机名进程&路径为/tmp/Cisco.x86
加固
建议升级Flink 到无漏洞版本。
二、腾讯安全解决方案
已部署腾讯云防火墙的用户不会受本次攻击影响,腾讯云防火墙已支持对Mirai僵尸网络变种利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。
腾讯Web应用防火墙(WAF)支持防御Mirai僵尸网络所利用的多种漏洞攻击。
腾讯主机安全(云镜)可检测清除Mirai木马样本落地,客户登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。腾讯主机安全同时支持检测高危漏洞或弱口令风险,支持通过基线检测全面提升主机安全等级。
腾讯主机安全(云镜)可对Mirai木马入侵后下载执行高危命令进行告警。
私有云客户可旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Mirai僵尸网络发起的Apache Flink 任意文件上传漏洞攻击(CVE-2020-17518) 行为。
企业客户可旁路部署腾讯天幕(NIPS)实时拦截Mirai僵尸网络的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
三、详细分析
腾讯云防火墙检测到Mirai僵尸网络使用Apache Flink任意文件上传漏洞(CVE-2020-17518) 攻击,植入恶意jar包后执行恶意接口指令,进一步对失陷云主机进行控制。
植入的*_dc-chenk.jar包后门,其功能是执行任意命令。
Mirai僵尸网络的操纵者保留了一贯的物联网攻击方式:针对AVTECH厂商下的IOT设备进行漏洞攻击传播。
通过日志可以发现,攻击者保留了通过Hadoop YARN未授权漏洞入侵。
Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或挖矿牟利。由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备用户很多并不知道系统早已被控制,也较少对设备固件进行升级。除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙掌控。
该Mirai分支入侵后最终投递载荷与以往版本对比观察,发现样本无太大变化,使用DWORD从高到低单字节异或的方式对所有的内部硬编码字串进行加密,Key自定义修改为0x6E75636C。通过从字串“9u123448u124au814d4x10”中提取字符组合后修改为自身随机进程名。连接C2地址67.205.159.121:50010接受指令,当前版本移除了SSH爆破传播功能。
威胁视角看攻击行为
|
ATT&CK阶段 |
行为 |
|
侦察 |
通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:Apache Flink、Hadoop等。 |
|
资源开发 |
注册C2服务器 |
|
初始访问 |
利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload |
|
执行 |
利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马 |
|
防御规避 |
僵尸网络木马伪装自身随即名,意图躲避运维人员排查追踪。 |
|
发现 |
通过扫描目标开放端口信息以确认后续攻击方式 |
|
影响 |
Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。 |
IOCs
MD5
9df51fd1719492b13a7c2ec150ceda96
1e6e3993c531914f30ab858b0fd585f6
d38cdadfb1ec91ad9dfc59af68073070
fe1285bc2879d6f37a1dc6606cae8b0f
IP
168.138.143.186
67.205.159.121
URL
hxxp://168.138.143.186/Mirror/Linux.arm
hxxp://168.138.143.186/Mirror/Linux.arm5
hxxp://168.138.143.186/Mirror/Linux.arm6
hxxp://168.138.143.186/Mirror/Linux.arm7
hxxp://168.138.143.186/Mirror/Linux.m68k
hxxp://168.138.143.186/Mirror/Linux.mips
hxxp://168.138.143.186/Mirror/Linux.mpsl
hxxp://168.138.143.186/Mirror/Linux.ppc
hxxp://168.138.143.186/Mirror/Linux.sh
hxxp://168.138.143.186/Mirror/Linux.spc
hxxp://168.138.143.186/Mirror/Linux.x86
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):Mirai僵尸网络利用Apache Flink任意文件上传漏洞 (CVE-2020-17518)攻击云主机,腾讯云防火墙支持拦截
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论