國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)了AESDDoS僵尸網(wǎng)絡(luò)惡意軟件變種,該變種利用了Atlassian Confluence服務(wù)器中Widget Connector宏的CVE-2019-3396漏洞�����。CVE-2019-3396漏洞是Confluence Server與Confluence Data Center中的Widget Connector存在服務(wù)端模板注入漏洞��,攻擊者能利用此漏洞能夠?qū)崿F(xiàn)目錄穿越與遠(yuǎn)程代碼執(zhí)行�。
研究人員發(fā)現(xiàn)該惡意軟件變種可以在運(yùn)行有漏洞Confluence服務(wù)器和數(shù)據(jù)中心的系統(tǒng)上可以執(zhí)行DDOS攻擊、遠(yuǎn)程代碼執(zhí)行和加密貨幣挖礦�。Atlassian已經(jīng)著手修改這些問(wèn)題,并建議用戶(hù)盡快升級(jí)到最新版本(6.15.1)�。
分析中發(fā)現(xiàn)攻擊者利用CVE-2019-3396漏洞來(lái)使機(jī)器感染AESDDoS僵尸網(wǎng)絡(luò)惡意軟件。該惡意軟件還會(huì)遠(yuǎn)程執(zhí)行shell命令來(lái)下載和執(zhí)行惡意shell腳本����,該shell腳本會(huì)下載另外一個(gè)shell腳本最終在受影響的系統(tǒng)上安裝AESDDOS僵尸網(wǎng)絡(luò)惡意軟件。
AESDDoS惡意軟件變種可以啟動(dòng)不同類(lèi)型的DDOS攻擊����,包括SYN, LSYN, UDP, UDPS, TCP洪泛攻擊。同時(shí),其也會(huì)從受感染的系統(tǒng)上竊取信息���。獲取系統(tǒng)的Model ID �、CPU描述����、速度、品牌��、型號(hào)和類(lèi)型��。竊取的系統(tǒng)信息和C2數(shù)據(jù)都會(huì)用AES算法加密�,然后用AESDDoS變種的cmdshell函數(shù)來(lái)加載加密貨幣挖礦機(jī)���。
除了以上功能外,AESDDoS還可以修改文件��,比如/etc/rc.local 和/etc/rc.d/rc.local�,通過(guò)在文件中加入{malware path}/{malware file name} reboot命令來(lái)完成自動(dòng)重啟的功能。
針對(duì)該惡意程序所造成的危害�,建議用戶(hù)做好安全防護(hù),在所使用的計(jì)算機(jī)中安裝安全防護(hù)軟件�����,并將病毒庫(kù)版本升級(jí)至最新版����。同時(shí),關(guān)閉不必要的端口�,并安裝防火墻,以免使電腦受到該惡意程序的危害�。