利用Confluence最新漏洞传播的Linux挖矿病毒seasame的示例分析

这期内容当中小编将会给大家带来有关利用Confluence最新漏洞传播的Linux挖矿病毒seasame的示例分析，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

一、现象描述

近日，深信服EDR产品率先检测到一款新型Linux挖矿木马，经深信服安全专家分析，该病毒利用Confluence漏洞传播，通过定时下载对病毒体进行保活，同时由于病毒会杀掉包含“https://”、“http://”的进程，将导致用户无法下载文件及访问网页，挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析，并根据其母体文件名将其命名为seasame。

感染该木马后现象如下，可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

另外，还会出现无法使用wget和curl命令，以及无法打开浏览器等问题。

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398，这里提醒有安装该软件的用户需要注意进行防御。

二、详细分析

2.1 母体脚本

一些初始化变量如下，其中entropy为C&C服务器字符串的翻转，C&C服务器地址为51[.]15[.]56[.]161[:]443；变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名，均由7位随机的字符串组成，后面描述这些文件时都直接使用其对应的变量名；_b，_j等变量用于拼凑shell命令。

根据是否存在vmlinuz进程及其CPU占用是否超过30%，判断系统是否已经感染，如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本：

下载挖矿程序omelette及母体脚本seasame到/tmp目录下，并执行挖矿程序。

创建crontab定时任务：

创建的定时任务如下，每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行：

删除iptables命令，将wget重命名为wgetak，curl命令重命名为curlak。

创建cloud_agent.service服务：

cloud_agent.service服务如下，同样用于下载并执行母体脚本seasame：

将bash命令复制到当前目录，然后分别执行3个脚本。new_dog：守护挖矿进程；new_killbot：清除除vmlinuz以外，CPU占用大于30%的进程；prot：杀掉包含“https://”、“http://”、“eval”的进程。

2.2 挖矿程序

1.打开相应的文件，如果文件不存在，则生成相应的文件，如下所示：

2.生成/temp/ec2a6文件，如下所示：

生成的文件，如下所示：

3.生成/var/tmp/f41，如下所示：

4.生成de33f4f911f20761，如下所示：

生成的文件，如下所示：

5.获取主机CPU信息，如下所示：

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161，如下所示：

7.然后拼接不同的端口号，组成相应的矿池地址，如下所示：

组合成的矿池地址列表，如下所示：

51.38.133.232:44351.15.56.161:8051.38.133.232:2151.15.56.161:2051.38.133.232:5351.15.56.161:5351.38.133.232:16251.15.56.161:16151.38.133.232:99051.15.56.161:98951.38.133.232:111151.15.56.161:111151.38.133.232:222251.15.56.161:222251.38.133.232:333351.15.56.161:333351.38.133.232:444451.15.56.161:444451.38.133.232:818151.15.56.161:808051.38.133.232:2520051.15.56.161:25400

8.创建子进程，进行挖矿操作，如下所示：

创建挖矿进程过程，如下所示：

相应的进程信息，如下所示：

top进程信息，如下所示：

9.挖矿进程相关参数，如下所示：

捕获到的相应的流量数据包，如下所示：

挖矿相关流量数据包，如下所示：

矿池IP地址为矿池地址列表中的：51.38.133.232:443

10.连接远程矿池地址，如下所示：

请求连接51.15.56.161，如下所示：

获取到的流量数据，如下所示：

如果连接失败，则请求连接51.38.133.232，如下所示：

返回相应的数据，如下所示：

获取到的流量数据，如下所示：

拼接相应的内容，如下所示：

然后将获取的内容，写入到/temp/yayscript.sh脚本中，并通过bash执行sh脚本，如下所示：

yayscript.sh的内容，如下所示：

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供针对seasame病毒的专杀工具，可下载如下工具，进行检测查杀。

下载链接：http://edr.sangfor.com.cn/tool/clear_seasame.sh

上述就是小编为大家分享的利用Confluence最新漏洞传播的Linux挖矿病毒seasame的示例分析了，如果刚好有类似的疑惑，不妨参照上述分析进行理解。如果想知道更多相关知识，欢迎关注亿速云行业资讯频道。