专栏首页安恒信息揭秘:黑客利用Couchdb数据库中漏洞植入挖矿程序

揭秘:黑客利用Couchdb数据库中漏洞植入挖矿程序

事件概述

我们捕获了利用Couchdb权限绕过漏洞的攻击行为,攻击者通过创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序。

CVE--2017-12635 和 CVE-2017-12636

下面简单介绍一下利用的两个漏洞。

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。

CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。

CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。

事件分析

1.创建管理员

因为任意命令执行漏洞需要登录用户方可触发,所以先利用CVE-2017-12635先增加一个管理员用户,主要操作如下:

发送包含两个roles的数据包,即可绕过限制,成功创建管理员,账户密码均为:wooyun1.访问http://**.213.63.***:5984/_utils/,可以看到已经存在用户名为wooyun1账号:

2.执行任意命令

利用任意命令执行漏洞执行的主要操作如下:

可以看到利用漏洞执行wget和curl命令从http://***.99.142.232:8220/下载了两个bash脚本,5.sh和2.sh.

功能都是再执行wget或者curl命令下载并执行一个.jpg文件, 查看logo3.jpg和logo4.jpg实质上都是bash脚本,主要内容如下:

主要功能是从http://***.99.142.232:8220下载一个配置文件1.json 并重命名,下载了rig、rig1、rig2三个样本并重命名,赋予了可执行权限,然后获取了受害主机的cpu核数,把配置文件内容和cpu核数作为参数执行suppoie这个程序

config.json 内容如下:

根据配置文件内容判断这是一个门罗币的挖矿样本,使用的是XMRig开源程序,查了一下这个钱包地址帐户因僵尸网络活动报告而被暂停。

脚本中出现的三个样本hash分别为:

4f0bbc485050485cf7799c0547ac2678dbe16b41e4d124e5fc2ffbeb62a46f6d

53505d1bdecdd2fb71d634dd1f7935ed8b099b87369c416bca7afa36cb3c7335

e2a28a51dae1627a4eb76d25dafd6140c52a88885e3cca66309e70cf7fa65cdd

在virustotal上查询了这三个样本,第一次上传是在3月25号,在12小时前还被重新上传分析,判断这个样本近期非常活跃:

-END-

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞公告】Tomcat信息泄漏和远程代码执行漏洞【高危】

    2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞...

    安恒信息
  • 工具下载 | WebLogic中WLS 组件漏洞(CVE-2017-10271)专项检测工具

    近期安恒信息在应急响应过程中发现有恶意攻击者利用WebLogic漏洞对企业服务器发起大范围远程攻击,攻击成功后植入挖矿后门程序,通过分析发现攻击者利用了Orac...

    安恒信息
  • 漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

    六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-...

    安恒信息
  • Couchdb权限绕过和任意命令执行植入挖矿程序入侵分析

    安恒网络空间安全讲武堂
  • MySQL的用户管理

    #前言:我们知道,无论是登陆MySQL数据库还是登陆Linux系统,都需要有用户来登陆。默认情况下,root用户是享有最高权限的超级用户,可以使用包括creat...

    guoke-boy
  • 命令执行与代码执行漏洞原理

    命令执行定义 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可...

    天钧
  • 如何新建一个vue项目

    大家都知道国内直接使用npm 的官方镜像是非常慢的,这里推荐使用淘宝 NPM 镜像。

    故久
  • 美国政府正采取措施整改备受困恼的 CVE 系统

    据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

    周俊辉
  • 美国政府正采取措施整改备受困恼的 CVE 系统

    据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

    周俊辉
  • Git - 将本地仓库与远程仓库关联并推送至远程仓库

    KangVcar

扫码关注云+社区

领取腾讯云代金券