通过态势感知平台捕获的攻击行为发现，该事件是攻击者利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序。追踪溯源系统对攻击数据进行解析，快速发现了该威胁：

剑气如霜，告警信息精准定位。以下是定位到的4条攻击的原始数据，提取攻击payload。

1.利用Couchdb权限绕过漏洞，创建管理员帐户wooyun1：

2.利用Couchdb任意命令执行漏洞，Wegt从服务器下载5.sh，保存到/tmp/5.sh：

3.利用Couchdb任意命令执行漏洞，Bash 执行/tmp/5.sh：

4.利用Couchdb任意命令执行漏洞，Curl从服务器下载2.sh,保存到/tmp/3.sh：

对以上威胁数据进行分析，确认这是一起利用Couchdb权限绕过漏洞，创建管理员帐户，之后利用Couchdb任意命令执行漏洞执行下载恶意脚本，植入挖矿恶意程序的事件。通过追踪溯源平台的数据整合与关联能力，对这几条告警进行关联，转为门罗币挖矿木马事件。

人间合一笑，飘荡江湖箫与剑。安恒态势感知为你详细解读攻击行为。

因为任意命令执行漏洞需要登录用户方可触发，所以攻击者先利用Couchdb权限绕过漏洞(CVE-2017-12635)先增加一个管理员用户，主要操作如下：

发送包含两个roles的数据包，即可绕过限制，成功创建管理员，账户密码均为：wooyun1。访问http://**.**.**.**:5984/_utils/，可以看到已经存在用户名为wooyun1账号：

利用任意命令执行漏洞执行的主要操作如下：

可以看到利用漏洞执行wget和curl命令从http://192.99.142.*:*/下载了两个bash脚本，5.sh和2.sh.

功能都是再次执行wget或者curl命令下载并执行一个.jpg文件，查看logo4.jpg和logo8.jpg实质上都是shell脚本，主要内容如下：

脚本首先会关闭已有的挖矿进程，避免其他进程和它抢占资源，竟然有222个之多，这里列举了部分。

之后是从http://192.99.142.*:*下载一个配置文件1.json 并重命名，下载了rig、rig1、rig2三个样本并重命名，赋予了可执行权限，然后获取了受害主机的cpu核数，把配置文件内容和cpu核数作为参数执行suppoie这个程序。

config.json 内容如下：

矿池地址为：

158.69.133.*:*

192.99.142.*:*

202.144.193.*:*

挖矿账号为：

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

根据配置文件内容判断这是一个门罗币的挖矿样本，使用的是XMRig开源程序，查了一下这个钱包地址帐户还在持续受益。

• 重磅 | 教育行业信息安全监测预警管理平台正式发布！ 

• 网安“小龙人”现身杭港地铁 安恒信息科普信息安全 

• 安恒雪豹培训总结（诗歌版）