黑客攻击Jenkins漏洞(CVE-2018-1000861)传播Kerberods挖矿软件
不法分子正在利用2018年披露的Jenkins漏洞(CVE-2018-1000861)来使用Kerberods提供加密货币挖矿软件进行挖矿活动。
SANS专家Renato Marinho发现了一个正在针对Apache Jenkins安装的恶意攻击活动,以传播一个名为Kerberods的门罗币挖矿恶意软件。
根据SANS研究所的互联网风暴中心称,攻击者正在利用Jenkins服务器使用的Stapler HTTP请求处理引擎中存在的CVE-2018-1000861漏洞。
Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建,测试和部署他们的应用程序,它在全球拥有数十万个活跃安装,拥有超过100万用户。
Jenkins开发团队在2018年12月解决了这个漏洞,该团队发出以下潜在威胁发出了警告:
- 使用内置的Winstone-Jetty服务器运行Jenkins时,未经身份验证的用户可以使所有会话无效。
- 具有“全部/读取”权限的用户可以在内存中创建新的用户对象。
- 具有“全部/读取”访问权限的用户可以非定期执行期间手动启动AsyncPeriodicWork。
安全研究人员公开披露了该漏洞的技术细节。该漏洞可以与发布的其他链接中的漏洞结合,以获取远程代码执行。
根据SANS的Renato Marinho的说法,CVE-2018-1000861的漏洞验证程序(PoC)于3月初发布。
Marinho注意到他的一个蜜罐受到了一些攻击,试图利用Jenkins的这个漏洞来传递Kerberods挖矿软件。
“在分析了我的一个蜜罐受到的攻击之后,我创建了下图所示的图表。按照蓝色数字理解步骤。“
Jenkins漏洞攻击
Kerberods恶意软件包含自定义版本的UPX打包程序,它尝试获取root权限来隐藏它的存在并获得持久性。
“在分析二进制文件后,我发现使用的打包器是‘UPX’的定制版本。UPX是一个开源软件,有许多方法可以修改UPX,使其难以使用常规的UPX版本解压文件。“继续分析。“幸运的是,在这种情况下,UPX自定义只涉及将maigc常量UPX_MAGIC_LE32从‘UPX’修改为其他三个字母。因此,在二进制文件的不同部分将其还原为UPX,可以使用常规版本的UPX解压缩二进制文件。“
获得root权限后,Kerberods会将一个库加载到操作系统中,该操作系统将连接Glibc的不同功能,就像一个rootkit。
在没有root权限的情况下,恶意软件创建了一个cron定时任务以确保持久性。
Kerberods在受感染的系统上下载并执行Monero加密货币挖矿软件,它还使用本地SSH密钥进行横向移动。该恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/85215/malware/jenkins-vulnerability-attacks-kerberods.html
最新评论