简介

4月10日下午，阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件，并快速作出响应处理。

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki。本次遭到利用的漏洞，在Confluence产品官网3月20日的Security Advisory中被最初提及，其Widget Connector存在服务端模板注入漏洞，攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行。

从4月8日国内安全研究员根据patch点写出poc并发布，到4月10日大规模蠕虫攻击爆发，中间只隔了短短两天，再次对云平台及用户的快速响应能力构成严峻考验。

本文将对此次蠕虫事件进行分析，并就如何预防类似事件给出安全建议。

蠕虫传播分析

随后，攻击者将payload中加粗的url部分替换为https://pastebin.com/raw/cHWdCAw2后，再次对同一台主机发送，执行了以下url中存放的内容：

综上可知，实际的恶意脚本位置在 https://pastebin.com/raw/xmxHzu5P，判断受害主机架构后，依次尝试使用curl和wget下载恶意程序

解压后程序结构如下图，标红部分为攻击传播的蠕虫模块，标蓝部分为在主机上进行持久化的模块，标黄部分则是挖矿模块。

3.对于有更高定制化要求的用户，可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务，定制适合您的方案，帮助加固系统，预防入侵。入侵事件发生后，也可介入直接协助入侵后的清理、事件溯源等，适合有较高安全需求的用户，或未雇佣安全工程师，但希望保障系统安全的企业。

IOC

url:
https://pastebin.com/raw/UpJbVRuE
https://pastebin.com/raw/cHWdCAw2
https://pastebin.com/raw/v5xc0bjh

矿池:
systemtem.org:51640

恶意程序:

来源：flybirding1001