国家计算机病毒应急处理中心通过对互联网的监测发现了AESDDoS僵尸网络恶意软件变种,该变种利用了Atlassian Confluence服务器中Widget Connector宏的CVE-2019-3396漏洞。CVE-2019-3396漏洞是Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。
研究人员发现该恶意软件变种可以在运行有漏洞Confluence服务器和数据中心的系统上可以执行DDOS攻击、远程代码执行和加密货币挖矿。Atlassian已经着手修改这些问题,并建议用户尽快升级到最新版本(6.15.1)。
分析中发现攻击者利用CVE-2019-3396漏洞来使机器感染AESDDoS僵尸网络恶意软件。该恶意软件还会远程执行shell命令来下载和执行恶意shell脚本,该shell脚本会下载另外一个shell脚本最终在受影响的系统上安装AESDDOS僵尸网络恶意软件。
AESDDoS恶意软件变种可以启动不同类型的DDOS攻击,包括SYN, LSYN, UDP, UDPS, TCP洪泛攻击。同时,其也会从受感染的系统上窃取信息。获取系统的Model ID 、CPU描述、速度、品牌、型号和类型。窃取的系统信息和C2数据都会用AES算法加密,然后用AESDDoS变种的cmdshell函数来加载加密货币挖矿机。
除了以上功能外,AESDDoS还可以修改文件,比如/etc/rc.local 和/etc/rc.d/rc.local,通过在文件中加入{malware path}/{malware file name} reboot命令来完成自动重启的功能。
针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,关闭不必要的端口,并安装防火墙,以免使电脑受到该恶意程序的危害。
|