1。前言近日,微布在线微布情报局利用免费社区蜜罐HFish捕获到GitLab未授权远程命令执行漏洞(CVE-2021-22205)被野外利用。攻击成功后,攻击者会植入挖矿木马进行挖矿。该漏洞无需认证即可被利用,危害极大。GitLab是GitLabInc.开发的一个开源项目,用于代码存储管理系统。由于GitLab被多家企业广泛使用,该漏洞影响范围更广。公众号后台回复“GL”获取相关IOC。二、事件详情2021年“双11”前夕,HFish蜜罐与OneEDR共同捕获并处置了一起实际利用GitLab远程命令执行未授权漏洞(CVE-2021-22205)进行野外挖矿的攻击。根据部署在互联网上的GitLab服务模拟蜜罐,该攻击首次发生时间为11月10日21:00。国内某IP经过简单的扫描检查后,发送了可疑的HTTPPOST请求。经分析确认该漏洞被ExifToolCVE-2021-22205利用,导致图片解析异常导致命令执行。样本于11月11日捕获,提取行为特征并推送给OneEDR客户。由于该漏洞利用容易,且利用代码已经公开,很多企业用户已经感知到部分主机被入侵,主机告警界面出现多条告警信息。报警名称为木马进程xmrig。相关木马。3.告警排查及分析点击日志详情,在2021/11/1118:10至2021/11/1118:20期间,发现多个文件下载行为。点击其中一条日志查看详情,发现第一次操作发生在GitLab相关目录,初步怀疑是通过GitLab漏洞进入的。登录服务器排查,查看GitLab的相关日志,发现同一个可疑IP多次访问GitLab,发送数据传输的post请求时间与OneEDR产生告警的时间几乎一致.猫生产.log|grepPOST研究人员利用CVE-2021-22205漏洞利用,验证GitLab是否存在GitLabrce(CVE-2021-22205)漏洞。经验证发现GitLab存在RCE漏洞。随后,将xmrig木马带到本地虚拟机进行分析,发现该木马为门罗币挖矿木马。可以指定挖矿的url,后台运行挖矿程序,指定钱包地址进行挖矿活动。3.1处理建议1、自查GitLab是否为以下版本。如果是,请自行升级GitLab版本。受此漏洞影响的GitLab版本:11.9<=GitLab(CE/EE)<13.8.813.9<=GitLab(CE/EE)<13.9.613.10<=GitLab(CE/EE)<13.10.3GitLab相关资源https://mirrors.tuna.tsinghua...;2、GitLab密码使用高强度密码。不要使用弱密码,防止黑客暴力破解。4.总结与思考4.1事件总结本次事件是通过免费社区蜜罐HFish和OneEDR采集终端进程、网络、文件等系统行为发现的。通过OneEDR的智能关联功能,可以了解安全事件的上下文和主机、账号、进程等信息,通过“进程链”可以快速掌握事件影响范围和事件概要,以便准确溯源。HFish是一款基于Golang开发的免费社区蜜罐,可以提供多种网络服务和Web应用模拟。OneEDR是一款专注于主机入侵检测的新型终端防护平台。通过威胁情报、行为分析、智能事件聚合、机器学习等技术手段,准确检测主机入侵,发现已知和未知威胁。充分利用ATT&CK对攻击全链路进行多点布控,全面发现入侵行为线索。4.2事件考虑1.近年来随着5G物联网的快速发展,物联网设备数量呈几何级数增长,物联网设备成为主要攻击目标。2、随着物联网设备越来越多,使用SSH的暴力破解攻击会越来越多,这将使僵尸网络迅速增加自己的僵尸程序;同时,黑客在国外租用匿名且廉价的VPS,不仅成本低,而且难以溯源,所以未来僵尸网络只会越来越多。3、目前物联网僵尸网络主要是DDoS和挖矿木马。原文内容请参考https://hfish.io/#/
