國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)了AESDDoS僵尸網(wǎng)絡(luò)惡意軟件變種���,該變種利用了Atlassian Confluence服務(wù)器中Widget Connector宏的CVE-2019-3396漏洞。CVE-2019-3396漏洞是Confluence Server與Confluence Data Center中的Widget Connector存在服務(wù)端模板注入漏洞��,攻擊者能利用此漏洞能夠?qū)崿F(xiàn)目錄穿越與遠(yuǎn)程代碼執(zhí)行�����。
研究人員發(fā)現(xiàn)該惡意軟件變種可以在運行有漏洞Confluence服務(wù)器和數(shù)據(jù)中心的系統(tǒng)上可以執(zhí)行DDOS攻擊、遠(yuǎn)程代碼執(zhí)行和加密貨幣挖礦�����。Atlassian已經(jīng)著手修改這些問題�����,并建議用戶盡快升級到最新版本(6.15.1)��。
分析中發(fā)現(xiàn)攻擊者利用CVE-2019-3396漏洞來使機器感染AESDDoS僵尸網(wǎng)絡(luò)惡意軟件�。該惡意軟件還會遠(yuǎn)程執(zhí)行shell命令來下載和執(zhí)行惡意shell腳本,該shell腳本會下載另外一個shell腳本最終在受影響的系統(tǒng)上安裝AESDDOS僵尸網(wǎng)絡(luò)惡意軟件���。
AESDDoS惡意軟件變種可以啟動不同類型的DDOS攻擊���,包括SYN, LSYN, UDP, UDPS, TCP洪泛攻擊。同時,其也會從受感染的系統(tǒng)上竊取信息�。獲取系統(tǒng)的Model ID 、CPU描述�、速度、品牌����、型號和類型。竊取的系統(tǒng)信息和C2數(shù)據(jù)都會用AES算法加密�,然后用AESDDoS變種的cmdshell函數(shù)來加載加密貨幣挖礦機。
除了以上功能外��,AESDDoS還可以修改文件�����,比如/etc/rc.local 和/etc/rc.d/rc.local����,通過在文件中加入{malware path}/{malware file name} reboot命令來完成自動重啟的功能。
針對該惡意程序所造成的危害�����,建議用戶做好安全防護���,在所使用的計算機中安裝安全防護軟件��,并將病毒庫版本升級至最新版����。同時��,關(guān)閉不必要的端口,并安裝防火墻�����,以免使電腦受到該惡意程序的危害�。