查看原文
其他

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

Ax Sharma 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队



Gitpaste-12 是最近被发现的蠕虫,它通过 GitHub 进行传播并在 Pastebin 上托管恶意 payload。这次,它带着更多的 exploit 重返江湖。



Gitpaste-12 蠕虫的第一次迭代具有反向 shell 和密币挖掘能力,并利用了超过12个已知的漏洞,而这也是其命名来由。

而这次,该高阶蠕虫和僵尸网络带来了30多个漏洞 exploit。


瞄准 Linux、安卓工具和 IoT 设备


Juniper 威胁实验室的研究人员在11月10日发现了 Gitpaste-12 的第二个版本,它出现在不同的 GitHub 仓库中。第二个版本进行了扩展,具有30多个漏洞 exploit,目标是 Linux 系统、物联网设备和开源组件。

最初,研究人员发现第二个版本中仅包含3个文件,“攻击中使用的 payload 源自另外一个 GitHub 仓库。该仓库中包含一个 Linux 密币挖矿机 (‘ls’)、用于暴力破解的密码清单 (‘pass’) 和一个出处不详的Python 3.9 解释器静态链接。” 然而,在调查过程中,该仓库中又增加了两个文件:一个是门罗币挖矿机配置文件 (“config.json”) ,另外一个是包装 UPX 的 Linux 提权 exploit。

Config.json 文件中包含的门罗币地址和10月份 Gitpaste-12 迭代中发现的文件一样:41qALJpqLhUNCHZTMSMQyf4LQotae9MZnb4u53JzqvHEWyc2i8PEFUCZ4TGL9AGU34ihPU8QGbRzc4FB2nHMsVeMHaYkxus。

在如下演示中可看出,最初的感染始于 Gitpaste-12 样本从 GitHub 下载 payload,之后释放密币矿机,同时受感染主机上还含有一个后门。该蠕虫还进一步自我传播以攻击 Web 应用、安卓 Debug Bridge 连接和 IoT 设备如 IP 摄像头和路由器。


携 31个漏洞 exploit:24个是唯一


Gitpaste-12的新版本具有“至少31个已知漏洞(其中7个也存在于之前的 GItpaste-12样本中),并试图攻陷开放的 Debug Bridge 连接和现有的恶意软件后门“。如下是相关的 exploit 链接:

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3313

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8361

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11511

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11447

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19509

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8816

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10987

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17463

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496

  • https://www.exploit-db.com/exploits/37474

  • https://www.exploit-db.com/exploits/40500

  • https://www.exploit-db.com/exploits/45135

  • https://www.exploit-db.com/exploits/45161

  • https://www.exploit-db.com/exploits/46542

  • https://www.exploit-db.com/exploits/48225

  • https://www.exploit-db.com/exploits/48358

  • https://www.exploit-db.com/exploits/48676

  • https://www.exploit-db.com/exploits/48734

  • https://www.exploit-db.com/exploits/48737

  • https://www.exploit-db.com/exploits/48743

  • https://www.exploit-db.com/exploits/48751

  • https://www.exploit-db.com/exploits/48758

  • https://www.exploit-db.com/exploits/48771

  • https://www.exploit-db.com/exploits/48775

  • https://www.exploit-db.com/exploits/48805

  • https://www.exploit-db.com/exploits/48827

其中一些漏洞 exploit 影响流行的开源应用如 JBoss Seam 2、CutePHP、mogo-express、Pi-hole 和 FuelCMS。另外,有名的专有 Web 应用如 vBulletin 也是被攻目标。

除利用这些漏洞外,Gitpaste-12 中绑定的X10-unix 蠕虫还攻击运行在端口 5555 上的安卓 Debug Bridge (adb) 应用,将恶意原生二进制 (“blu”) 和 APK 上传到安卓设备。

安装时复杂的 APK 将设备的 IP 地址发布在 Pastebin 上并进一步下载恶意 payload。

研究人员指出,Gitpaste-2 的新迭代版本至少已攻陷了100个主机,“虽然难以确定该恶意软件活动的广度或有效性,部分原因在于和比特币不同,门罗币并不具备公开可追踪的交易,Juniper 威胁实验室可疑证实遭感染的唯一主机超过100个。“

Gitpaste-12 的第二个版本距离10月份发布第一版并未过去太长的时间。目前尚不清楚该蠕虫不久是否会推出更高阶的版本。

原文请见:https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm



推荐阅读
史上最强大的僵尸网络 Dark_nexus 横空出世
四个月休眠期结束,当前最危险的僵尸网络 Emotet 再抬头
Shellbot 僵尸网络瞄准 Linux 和安卓设备




原文链接

https://www.bleepingcomputer.com/news/security/gitpaste-12-worm-botnet-returns-with-30-plus-vulnerability-exploits/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存