集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
编译:奇安信代码卫士团队
Gitpaste-12 是最近被发现的蠕虫,它通过 GitHub 进行传播并在 Pastebin 上托管恶意 payload。这次,它带着更多的 exploit 重返江湖。
Gitpaste-12 蠕虫的第一次迭代具有反向 shell 和密币挖掘能力,并利用了超过12个已知的漏洞,而这也是其命名来由。
而这次,该高阶蠕虫和僵尸网络带来了30多个漏洞 exploit。
Juniper 威胁实验室的研究人员在11月10日发现了 Gitpaste-12 的第二个版本,它出现在不同的 GitHub 仓库中。第二个版本进行了扩展,具有30多个漏洞 exploit,目标是 Linux 系统、物联网设备和开源组件。
最初,研究人员发现第二个版本中仅包含3个文件,“攻击中使用的 payload 源自另外一个 GitHub 仓库。该仓库中包含一个 Linux 密币挖矿机 (‘ls’)、用于暴力破解的密码清单 (‘pass’) 和一个出处不详的Python 3.9 解释器静态链接。” 然而,在调查过程中,该仓库中又增加了两个文件:一个是门罗币挖矿机配置文件 (“config.json”) ,另外一个是包装 UPX 的 Linux 提权 exploit。
Config.json 文件中包含的门罗币地址和10月份 Gitpaste-12 迭代中发现的文件一样:41qALJpqLhUNCHZTMSMQyf4LQotae9MZnb4u53JzqvHEWyc2i8PEFUCZ4TGL9AGU34ihPU8QGbRzc4FB2nHMsVeMHaYkxus。
在如下演示中可看出,最初的感染始于 Gitpaste-12 样本从 GitHub 下载 payload,之后释放密币矿机,同时受感染主机上还含有一个后门。该蠕虫还进一步自我传播以攻击 Web 应用、安卓 Debug Bridge 连接和 IoT 设备如 IP 摄像头和路由器。
Gitpaste-12的新版本具有“至少31个已知漏洞(其中7个也存在于之前的 GItpaste-12样本中),并试图攻陷开放的 Debug Bridge 连接和现有的恶意软件后门“。如下是相关的 exploit 链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3313
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8361
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11447
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19509
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8816
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10987
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17463
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496
https://www.exploit-db.com/exploits/37474
https://www.exploit-db.com/exploits/40500
https://www.exploit-db.com/exploits/45135
https://www.exploit-db.com/exploits/45161
https://www.exploit-db.com/exploits/46542
https://www.exploit-db.com/exploits/48225
https://www.exploit-db.com/exploits/48358
https://www.exploit-db.com/exploits/48676
https://www.exploit-db.com/exploits/48734
https://www.exploit-db.com/exploits/48737
https://www.exploit-db.com/exploits/48743
https://www.exploit-db.com/exploits/48751
https://www.exploit-db.com/exploits/48758
https://www.exploit-db.com/exploits/48771
https://www.exploit-db.com/exploits/48775
https://www.exploit-db.com/exploits/48805
https://www.exploit-db.com/exploits/48827
其中一些漏洞 exploit 影响流行的开源应用如 JBoss Seam 2、CutePHP、mogo-express、Pi-hole 和 FuelCMS。另外,有名的专有 Web 应用如 vBulletin 也是被攻目标。
除利用这些漏洞外,Gitpaste-12 中绑定的X10-unix 蠕虫还攻击运行在端口 5555 上的安卓 Debug Bridge (adb) 应用,将恶意原生二进制 (“blu”) 和 APK 上传到安卓设备。
安装时复杂的 APK 将设备的 IP 地址发布在 Pastebin 上并进一步下载恶意 payload。
研究人员指出,Gitpaste-2 的新迭代版本至少已攻陷了100个主机,“虽然难以确定该恶意软件活动的广度或有效性,部分原因在于和比特币不同,门罗币并不具备公开可追踪的交易,Juniper 威胁实验室可疑证实遭感染的唯一主机超过100个。“
Gitpaste-12 的第二个版本距离10月份发布第一版并未过去太长的时间。目前尚不清楚该蠕虫不久是否会推出更高阶的版本。
原文请见:https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm
四个月休眠期结束,当前最危险的僵尸网络 Emotet 再抬头
Shellbot 僵尸网络瞄准 Linux 和安卓设备
https://www.bleepingcomputer.com/news/security/gitpaste-12-worm-botnet-returns-with-30-plus-vulnerability-exploits/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。