1. 前言
近日,微步在线旗下微步情报局利用收费社区蜜罐 HFish 捕捉到 GitLab 未受权近程命令执行破绽(CVE-2021-22205)在朝利用,攻打胜利后攻击者会植入挖矿木马进行挖矿。该破绽无需进行身份验证即可进利用,危害极大。
GitLab 是 GitLab Inc. 开发用于代码仓库管理系统的开源我的项目。因为 GitLab 广泛应用于多个企业,该破绽影响范畴较广。公众号后盾回复“GL”获取相干 IOC。
2. 事件详情
在 2021 年“双 11”前夜,HFish 蜜罐与 OneEDR 联合行动,捕捉并处理了一起实在利用 GitLab 未受权近程命令执行破绽(CVE-2021-22205)在朝破绽进行挖矿的攻打。
依据部署在互联网的 GitLab 服务模仿蜜罐显示,该攻打第一次产生在 11 月 10 日早晨 21 点,某国内 IP 通过简略扫描踩点后,发送可疑 HTTP POST 申请,通过剖析确认该破绽为利用 ExifTool 解析图片异样导致命令执行的 CVE-2021-22205。11 月 11 日捕捉到了样本并提取行为特色推送给 OneEDR 客户。
因为该破绽利用简略,且利用代码曾经公开,多个企业用户曾经感知局部主机失陷,主机告警界面呈现了多条告警信息,告警名称是木马过程 xmrig,钻研人员依据文件的名称断定是与挖矿相干的木马。
3. 告警排查剖析
点击日志详情,在 2021/11/11 18:10 – 2021/11/11 18:20 工夫内,发现有多个文件下载行为。
点击其中一个日志查看详情能够发现,该操作第一次产生是在 GitLab 相干的目录,初步狐疑是通过 GitLab 破绽进来的。
登录服务器排查,查看 GitLab 的相干日志,发现有同一可疑 IP 屡次拜访 GitLab,post 申请传输数据的工夫与 OneEDR 产生告警工夫简直统一。
cat production.log | grep POST
钻研人员利用 CVE-2021-22205 破绽的 exp 去验证该 GitLab 是不是存在 GitLab rce (CVE-2021-22205) 的破绽,通过验证发现确认,该 GitLab 存在 RCE 破绽。
接着,把 xmrig 木马拿到本地虚拟机进行剖析,发现该木马是门罗币挖矿木马,它能够指定 url 进行挖矿、后盾运行挖矿程序、以及指定钱包地址等形式进行挖矿流动。
3.1 处理倡议
1、自查 GitLab 是否在上面波及到的版本,若是,请自行降级 GitLab 版本。
本次破绽影响的 GitLab 版本:
- 11.9 <= GitLab(CE/EE)< 13.8.8
- 13.9 <= GitLab(CE/EE)< 13.9.6
-
13.10 <= GitLab(CE/EE)< 13.10.3
GitLab 相干源 https://mirrors.tuna.tsinghua…;
2、GitLab 明码应用高强度明码,切勿应用弱口令,避免黑客暴力破解。4. 总结与思考
4.1 事件总结
本次事件是通过收费社区蜜罐 HFish、OneEDR 在收集终端的过程、网络、文件等零碎行为发现的,通过 OneEDR 的智能关联性能,可理解到安全事件的上下文以及主机、账号、过程等信息,通过“过程链”疾速把握事件的影响范畴以及事件的概括,从而精准溯源。
HFish 是一款基于 Golang 开发的社区收费蜜罐,可提供多种网络服务和 Web 利用模仿。
OneEDR 是一款专一于主机入侵检测的新型终端防护平台,通过利用威逼情报、行为剖析、智能事件聚合、机器学习等技术手段,实现对主机入侵的精准发现,发现已知与未知的威逼。充分利用 ATT&CK 对攻打全链路进行多点布控,全面发现入侵行为的蛛丝马迹。4.2 事件思考
1、随着近几年 5G 物联网的迅速倒退,物联网设施数量呈几何增长,物联网设施曾经成为次要的攻打指标。
2、随着物联网设施的一直增多,应用 SSH 暴力破解攻打会也越来越多, 这会让僵尸网络迅速减少本人的 bot;与此同时,黑客租用的是国外匿名便宜的 VPS,它岂但成本低,而且溯源难度较高,所以,当前僵尸网络只会越来越多。
3、目前的 IOT 僵尸网络以 DDoS 和挖矿的木马为主。
原文内容可参考 https://hfish.io/#/