AESDDoS利用CVE-2019-3396進行遠程代碼執行、DDOS攻擊和加密貨幣挖礦

CVE-2019-3396是Confluence Server與Confluence Data Center中的Widget Connector存在服務端模板注入漏洞，攻擊者能利用此漏洞能夠實現目錄穿越與遠程代碼執行。

Trendmicro的蜜罐系統近期檢測到AESDDoS殭屍網路惡意軟體變種，該變種利用了Atlassian Confluence伺服器中Widget Connector宏的CVE-2019-3396漏洞。研究人員發現該惡意軟體變種可以在運行有漏洞Confluence伺服器和數據中心的系統上可以執行DDOS攻擊、遠程代碼執行和加密貨幣挖礦。Atlassian已經著手修改這些問題，並建議用戶儘快升級到最新版本（6.15.1）。

表1 受影響的Atlassian Confluence伺服器和數據最新版本以及建議修復版本

AESDDoS殭屍網路惡意軟體變種

分析中，研究人員發現攻擊者利用CVE-2019-3396漏洞來使機器感染AESDDoS殭屍網路惡意軟體。還會遠程執行shell命令來下載和執行惡意shell腳本（Trojan.SH.LODEX.J），該shell腳本會下載另外一個shell腳本最終在受影響的系統上安裝AESDDOS殭屍網路惡意軟體。

圖1. 通過Trojan.SH.LODEX.J濫用CVE-2019-3396漏洞的代碼段

上圖中第2行表明從C2伺服器下載Trojan.SH.LODEX.J，第3行表示執行下載的惡意shell腳本。

AESDDoS惡意軟體變種可以啟動不同類型的DDOS攻擊，包括SYN, LSYN, UDP, UDPS, TCP洪泛攻擊。惡意軟體可以連接到23[.]224[.]59[.]34:48080來發送和接收來自攻擊者的遠程shell命令。

圖2. AESDDoS變種連接到23[.]224[.]59[.]34:48080的 代碼段

圖3. AESDDoS變種執行遠程shell命令的代碼段

殭屍網路惡意軟體變種也會從受感染的系統上竊取信息。獲取系統的Model ID 、CPU描述、速度、品牌、型號和類型。

圖4. AESDDoS變種竊取受感染系統CPU信息的代碼段

竊取的系統信息和C2數據都會用AES演算法加密，然後用AESDDoS變種的cmdshell函數來載入加密貨幣挖礦機。

除了以上功能外，AESDDoS還可以修改文件，比如/etc/rc.local 和/etc/rc.d/rc.local，通過在文件中加入/ reboot命令來完成自動重啟的功能。

安全建議

對軟體開發過程進行持續監控可以標記伺服器、數據中心和其他計算環境的安全風險。對Atlassian Confluence伺服器中存在的CVE-2019-3396漏洞的成功利用會將資源置於危險中，企業應該能夠識別這些漏洞，使用最新的關於惡意軟體和漏洞利用的威脅情報，來檢測應用設計和底層基礎設施產生的變化。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！