通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

DreamBus 恶意软件利用 RocketMQ 漏洞感染服务器

Bleeping Computer 网站披露,新版 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中一个严重远程代码执行漏洞感染设备,漏洞被追踪为 CVE-2023-33246,主要影响 RocketMQ 5.1.0 及以上版本。1693365261_64eeb40d8b214ca112c61.png!small?1693365260858

据悉,Juniper Threat Labs 安全研究人员发现利用 CVE-2023-33246 漏洞进行 DreamBus 攻击的安全事件,并报告称该攻击在 2023 年 6 月中旬开始激增。

攻击者利用未打补丁的服务器

Juniper Threat Labs 报告称 2023 年 6 月初,第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻击主要针对 RocketMQ 默认 10911 端口以及其他七个端口。

1693365270_64eeb41644e300e08e91f.png!small?1693365269196

攻击数量时间表(Juniper Threat Labs)

研究人员发现网络攻击者使用 “interactsh “开源侦察工具确定互联网服务器上运行的软件版本,并推断出潜在的可利用漏洞。此外,研究人员还观察到威胁攻击者从 Tor 代理服务下载一个名为 “reketed “的恶意 bash 脚本(该混淆脚本是从 Tor 网站获取的 DreamBus 主模块(ELF 文件)的下载和安装程序,在执行后会被删除,以尽量减少被检测到的机会,可以躲过了 VirusTotal 上反病毒引擎的检测)。

1693365277_64eeb41d3d2cbe44492e2.png!small?1693365276178

从 Tor 获取有效载荷

DreamBus 主模块采用定制的 UPX 包装,因此能通过所有 VirusTotal AV 扫描而不被发现,该模块有几个 base64 编码的脚本,可执行包括下载恶意软件的附加模块等不同的功能。主模块对这些字符串进行解码以执行任务,例如向 C2 发送在线状态信号、下载 XMRig 开源 Monero 矿机、执行其他 bash 脚本或下载新的恶意软件版本。1693365284_64eeb42463116c3920df0.png!small?1693365283535

XMRig 配置(Juniper Threat Labs)

DreamBus 通过设置一个系统服务和一个 cron 作业(两者都设置为每小时执行一次)来确保其在受感染系统上保持持续活跃。

值得一提的是,该恶意软件还包含使用 ansible、knife、salt 和 pssh 等工具的横向传播机制,以及一个能够扫描外部和内部 IP 范围以发现漏洞的扫描仪模块。1693365291_64eeb42b669aed0f8afb8.png!small?1693365290445

DreamBus 的传播模块(Juniper Threat Labs)

研究人员透露,DreamBus 恶意网络活动的主要目标似乎是挖掘门罗币,不过其模块化特性允许网络攻击者随时在未来更新中轻松扩展其它功能。再考虑到 RocketMQ 服务器用于通信,网络攻击者理论上可以决定窃取被入侵设备管理的敏感对话数据,这样的话可能比在被劫持的资源上进行加密货币挖矿具有更大的货币化潜力。

据了解,早期版本的 DreamBus 恶意软件还针对 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack,因此建议管理员对所有软件产品进行良好的补丁管理,以应对这一网络威胁。

文章来源:

https://www.bleepingcomputer.com/news/security/dreambus-malware-exploits-rocketmq-flaw-to-infect-servers/

文章来自:https://www.freebuf.com/

相关文章