1. 前言

近日，微步在线旗下微步情报局利用收费社区蜜罐 HFish 捕捉到 GitLab 未受权近程命令执行破绽（CVE-2021-22205）在朝利用，攻打胜利后攻击者会植入挖矿木马进行挖矿。该破绽无需进行身份验证即可进利用，危害极大。
GitLab 是 GitLab Inc. 开发用于代码仓库管理系统的开源我的项目。因为 GitLab 广泛应用于多个企业，该破绽影响范畴较广。公众号后盾回复“GL”获取相干 IOC。

2. 事件详情

在 2021 年“双 11”前夜，HFish 蜜罐与 OneEDR 联合行动，捕捉并处理了一起实在利用 GitLab 未受权近程命令执行破绽（CVE-2021-22205）在朝破绽进行挖矿的攻打。
依据部署在互联网的 GitLab 服务模仿蜜罐显示，该攻打第一次产生在 11 月 10 日早晨 21 点，某国内 IP 通过简略扫描踩点后，发送可疑 HTTP POST 申请，通过剖析确认该破绽为利用 ExifTool 解析图片异样导致命令执行的 CVE-2021-22205。11 月 11 日捕捉到了样本并提取行为特色推送给 OneEDR 客户。

因为该破绽利用简略，且利用代码曾经公开，多个企业用户曾经感知局部主机失陷，主机告警界面呈现了多条告警信息，告警名称是木马过程 xmrig，钻研人员依据文件的名称断定是与挖矿相干的木马。

3. 告警排查剖析

点击日志详情，在 2021/11/11 18:10 – 2021/11/11 18:20 工夫内，发现有多个文件下载行为。

点击其中一个日志查看详情能够发现，该操作第一次产生是在 GitLab 相干的目录，初步狐疑是通过 GitLab 破绽进来的。

登录服务器排查，查看 GitLab 的相干日志，发现有同一可疑 IP 屡次拜访 GitLab，post 申请传输数据的工夫与 OneEDR 产生告警工夫简直统一。

cat production.log | grep POST

钻研人员利用 CVE-2021-22205 破绽的 exp 去验证该 GitLab 是不是存在 GitLab rce (CVE-2021-22205) 的破绽，通过验证发现确认，该 GitLab 存在 RCE 破绽。

接着，把 xmrig 木马拿到本地虚拟机进行剖析，发现该木马是门罗币挖矿木马，它能够指定 url 进行挖矿、后盾运行挖矿程序、以及指定钱包地址等形式进行挖矿流动。

3.1 处理倡议

1、自查 GitLab 是否在上面波及到的版本，若是，请自行降级 GitLab 版本。
本次破绽影响的 GitLab 版本：

• 11.9 <= GitLab（CE/EE）< 13.8.8
• 13.9 <= GitLab（CE/EE）< 13.9.6

• 13.10 <= GitLab（CE/EE）< 13.10.3
  GitLab 相干源 https://mirrors.tuna.tsinghua…；
  2、GitLab 明码应用高强度明码，切勿应用弱口令，避免黑客暴力破解。

  4. 总结与思考

  4.1 事件总结

  本次事件是通过收费社区蜜罐 HFish、OneEDR 在收集终端的过程、网络、文件等零碎行为发现的，通过 OneEDR 的智能关联性能，可理解到安全事件的上下文以及主机、账号、过程等信息，通过“过程链”疾速把握事件的影响范畴以及事件的概括，从而精准溯源。
  HFish 是一款基于 Golang 开发的社区收费蜜罐，可提供多种网络服务和 Web 利用模仿。
  OneEDR 是一款专一于主机入侵检测的新型终端防护平台，通过利用威逼情报、行为剖析、智能事件聚合、机器学习等技术手段，实现对主机入侵的精准发现，发现已知与未知的威逼。充分利用 ATT&CK 对攻打全链路进行多点布控，全面发现入侵行为的蛛丝马迹。

  4.2 事件思考

  1、随着近几年 5G 物联网的迅速倒退，物联网设施数量呈几何增长，物联网设施曾经成为次要的攻打指标。
  2、随着物联网设施的一直增多，应用 SSH 暴力破解攻打会也越来越多, 这会让僵尸网络迅速减少本人的 bot；与此同时，黑客租用的是国外匿名便宜的 VPS，它岂但成本低，而且溯源难度较高，所以，当前僵尸网络只会越来越多。
  3、目前的 IOT 僵尸网络以 DDoS 和挖矿的木马为主。
  
  
  
  原文内容可参考 https://hfish.io/#/