情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用

Posted 安全威胁情报

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用相关的知识,希望对你有一定的参考价值。

编号:TB-2020-0008
报告置信度:90
TAG:SaltStack CVE-2020-11651 CVE-2020-11652 Kinsing 挖矿漏洞
TLP:白(报告使用及转发不受限制)
日期:2020-05-03

摘要

2020年5月3日,微步情报局监测发现近日有国外安全厂商披露了 SaltStack 框架存在多个漏洞,攻击者利用之后能实现远程代码执行,且目前已发现有Kinsing挖矿僵尸网络利用发起攻击的情况。相关发现如下:

  • 爆出的SaltStack漏洞包含远程代码执行和目录遍历漏洞,危害程度为高,建议使用SaltStack产品的企业立即更新产品进行漏洞修复。
  • 据漏洞发现厂商的侦测统计,全网约有6000+使用SaltStack的服务器暴露在互联网,目前已发现国内多家企业受到漏洞影响,建议使用SaltStack产品的企业引起足够重视。
  • 此外,微步在线监测发现Kinsing挖矿僵尸网络新增对最新SaltStack漏洞的利用,相关使用SaltStack产品的企业应引起足够重视,具体可参考“行动建议”立即进行检测,我们提供了多种排查手段。
  • Kinsing是一个挖矿僵尸网络,此前主要利用Redis空口令进行攻击,利用Redis主从备份功能植入恶意Redis插件red2.so,然后下载挖矿远控木马kinsing进行执行,执行成功后会利用系统内部sshkey将木马传播到整个内网。
  • 此次事件相关情报已自动下发,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API均已支持对Kinsing相关攻击的检测。如需协助,请与我们联系:contactus@threatbook.cn。

行动建议

1.     SaltStack漏洞修补方案
  1. 升级Salt到v3000.2或v2019.2.4及以上版本,建议升级前做好备份,下载地址参考:https://repo.saltstack.com;
  2. 禁止Salt Master默认监听端口(默认4505和4506),限定IP访问。
 
2.     Kinsing挖矿僵尸网络防范
  1. 将Redis空口令改为强口令,修复Salt最新漏洞;
  2. 根据业务情况限制为仅对内网访问;
  3. 使用防火墙拦截攻击者IP;
  4. 杀掉木马进程,删除如下木马相关文件:

/tmp/salt-store

/tmp/salt-minions

/tmp/.ICEd-unix/


漏洞详情

SaltStack是基于Python开发的和C/S架构的开源自动化运维工具,具备远程任务执行、配置管理和监控等功能。

近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),漏洞相关情况如下:

产品
SaltStack
严重程度
CVE信息
CVE-2020-11651:属认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数,实现远程命令执行。
CVE-2020-11652:属目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息。
漏洞风险
远程代码执行,敏感信息泄露
影响版本
SaltStack < 2019.2.4
SaltStack < 3000.2
安全版本
SaltStack 2019.2.4
SaltStack 3000.2

事件概要

攻击目标
使用SaltStack产品的服务器
攻击时间
2020年5月3日
攻击向量
SaltStack漏洞
攻击复杂度
最终目的
远程控制、挖矿获利

事件详情
       
微步情报局监测发现,Kinsing挖矿僵尸网络新增对最新爆出的SaltStack漏洞的利用,用于传播远控和挖矿木马。相关分析如下:

1、  分析发现,漏洞利用成功之后会下载执行一个Shell脚本,该脚本会进行一系列初始化操作,如禁用安全措施并清除日志、清除其他恶意软件和挖矿程序、杀死正在运行的竞争对手恶意Docker容器并删除其映像、下载并执行恶意程序salt-store等。


2、  清除其他竞争者挖矿程序。

情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用


3、  下载木马程序。

情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用

情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用



4、     salt-store文件分析。

  • 该木马是基于Golang的Linux代理,具备释放挖矿程序salt-minions、确认挖矿程序是否正常运行、对外扫描扩散、下载文件并执行等功能。微步云沙箱分析如下:
    情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用


  • 连接193.33.87.231的80端口,发送矿池登录信息,其中钱包地址为45ofkzYJme2LXySUtHDwmMM18zcw32HapC46SiWiM1mZh8BXDteQ5cqANkEWA1Zoe4F5SRrNEFqg3cpJMH1bhzVP5tDrMrL ,密码为pass ,以及agent等一系列参数。


  • 访问如下URL下载脚本,虽目前已无响应,无法获取相关文件,但根据该僵尸网络之前的策略,会下载恶意脚本进行内网横向传播。
http://144.217.129.111/s
http://144.217.129.111/h
http://144.217.129.111/get
http://144.217.129.111/ms
5、  salt-minions是基于Golang的Linux挖矿程序,与salt-store挖矿流量参数相同,这里不再赘述。


附录 – IOC


Malware URL


https://bitbucket.org/samk12dd/git/raw/master/salt-store
http://217.12.210.192/salt-store
http://206.189.92.32/tmp/v
http://206.189.92.32/tmp/salt-store
http://144.217.129.111/s
http://144.217.129.111/h
http://144.217.129.111/get
http://144.217.129.111/ms


矿池 IP


193.33.87.231:80


SHA256


b618781f971528796dc5aa1030987b9112a544b7dc5b3bd0f818cc105142d717
9fbb49edad10ad9d096b548e801c39c47b74190e8745f680d3e3bcd9b456aafc
6ae71f71db042e43077941abe4d56753e0947b9464eac4e03567ec5356d9a22b


Malware File Path


/tmp/salt-store
/tmp/salt-minions
/tmp/.ICEd-unix/uuid


参考链接


https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://github.com/saltstack/salt/issues/57057
https://s.threatbook.cn/report/file/9fbb49edad10ad9d096b548e801c39c47b74190e8745f680d3e3bcd9b456aafc/?sign=history&env=centos_7_x64


关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。


关于 ThreatBook




THREATBOOK PRODUCTS

产品一览



TDP®  |  TDPS  |  TIP  

OneDNS® 安全DNS




THREATBOOK CUSTOMERS

典型客户







政府




新华社 | 农业部 商务部 | 海关总署 

国家信息中心 | 海淀区政府 | 浦口信息中心




金融




中国人民银行

工商银行 | 农业银行 | 中国银行 | 交通银行

招商银行 | 民生银行 | 光大银行 | 微众银行

中国银联 | 农信银资金清算中心 | 蚂蚁金服

渤海银行 | 南京银行 | 浦发银行

厦门国际银行 | 江苏农信 | 山东农信

山东城商行联盟

中国平安 | 安邦保险 | 前海人寿 | 太平洋保险

银河证券 | 安信证券 | 国信证券 | 证通股份

广发证券 | 东方证券 | 中信建投证券 | 凡普金科

兴业证券 | 光大证券 | 中信集团 | 华泰证券

中信证券 | 国泰君安证券 | 东方花旗证券

深交所





能源




中国石油 | 国家电网 | 南方电网





互联网




腾讯 | 百度 | 字节跳动 | 金山云 | 爱奇艺 | 京东 | 美团

唯品会 | 汽车之家 | 瓜子二手车 | Bilibili | 太极云





更多




VIVO | 顺丰速运 | 中国移动

千寻位置 | 中兴通讯 | 波司登 | OPPO




THREATBOOK PARTNERS

合作伙伴





以下企业或产品中集成了微步威胁情报:


阿里云态势感知

情报模块(需单独采购)


互联网域名系统北京市工程研究中心

DNS硬件防火墙 



以下企业或产品没有集成微步威胁情报:


深 信 服

安 恒 信 息

绿 盟 科 技

瀚 思 科 技


等其他企业


产品合作信息以微步在线官方披露为准

我们将随时更新合作伙伴名单及合作类别


以上是关于情报与处置:SaltStack最新漏洞被Kinsing挖矿僵尸网络利用的主要内容,如果未能解决你的问题,请参考以下文章

H2Miner利用SaltStack漏洞获利超370万人民币,门罗币仍为最受黑客喜爱目标

通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651CVE-2020-11652)植入挖矿木马的应急响应

安全通告:针对SaltStack远程命令执行漏洞植入挖矿木马的应急响应

Ghost博客系统官网被最新的SaltStack漏洞攻击并植入挖矿木马

H2Miner黑产团伙利用SaltStack漏洞控制服务器挖矿,已获利370万元

威胁情报 | 坏兔子及Struts新漏洞