端午佳节,笔者注意到国外媒体发了《Zero-Day Exploitation of Atlassian Confluence》的分析文章。其中公开了WebShell攻击样本,攻击者在成功利用Conflunce Server系统之后,立即植入了冰蝎(Behinder)内存马,接着上传了两个WebShell。
关于 Confluence
Confluence是一个专业的企业知识管理与协同软件,我们常说的Confluence jira、wiki均是其旗下产品。产品分为标准版和企业版,前者免费,可以自由搭建,后者为付费商业增值服务。Confluence 已经在超过100个国家,13500个组织中成功地应用于企业内网平台、知识管理及文档管理,涉及财富1000企业、政府机构、教育机构、财务金融机构及技术研究领域。
WebShell样本分析
样本1
FileName | noop.jsp |
FieSize | 537 |
MD5 | f8df4dd46f02dc86d37d46cf4793e036 |
SHA1 | 4c02c3a150de6b70d6fca584c29888202cc1deef |
样本1为文件上传小马,攻击者利用小马可以进一步上传大马和其他后门。
样本2
FileName | .jsp |
FieSize | 8624 |
MD5 | ea18fb65d92e1f0671f23372bacf60e7 |
SHA1 | 80b327ec19c7d14cc10511060ed3a4abffc821af |
样本2为修改后的菜刀JSP后门,在github公开的仓库已收录。
注: 菜刀即中国菜刀是常见WebShell管理工具,常见的管理工具还有蚁剑 (AntSword)、冰蝎 (Behinder) 、Weevely等。
当前这两个样本河马在线查杀和客户端均可以检出。
河马的内存马专杀攻击亦可检出冰蝎内存马。
在线查杀:
河马客户端:
关于内存马检测,笔者在这里做一个预告:
河马Linux版内存马检测工具:支持各类Java内存马检测
河马Windows版内存马检测工具:既支持.Net内存马,也支持Java内存马检测
目前均在内测阶段,稍后放出,请大家关注我们。
修复建议
Confluence类产品多数应用场景为企业内部办公协同,建议放在内网;
即时更新Conflunce;
务必扫描Conflunce目录下是否存在WebShell, 推荐使用河马在线查杀https://n.shellpub.com。
联系我们
关于WebShell检测、河马在线查杀、河马客户端疑问欢迎随时联系我们。
祝大家端午安康!
QQ交流群:971146821
点击下方名片,关注我们
如果不想错过消息,可以星标
点击“阅读原文”,立即体验河马在线查杀
↙↙↙