病毒预报  第七百八十九期

国家计算机病毒应急处理中心通过对互联网的监测发现了AESDDoS僵尸网络恶意软件变种，该变种利用了Atlassian Confluence服务器中Widget Connector宏的CVE-2019-3396漏洞。CVE-2019-3396漏洞是Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞，攻击者能利用此漏洞能够实现目录穿越与远程代码执行。

研究人员发现该恶意软件变种可以在运行有漏洞Confluence服务器和数据中心的系统上可以执行DDOS攻击、远程代码执行和加密货币挖矿。Atlassian已经着手修改这些问题，并建议用户尽快升级到最新版本（6.15.1）。

分析中发现攻击者利用CVE-2019-3396漏洞来使机器感染AESDDoS僵尸网络恶意软件。该恶意软件还会远程执行shell命令来下载和执行恶意shell脚本，该shell脚本会下载另外一个shell脚本最终在受影响的系统上安装AESDDOS僵尸网络恶意软件。

AESDDoS恶意软件变种可以启动不同类型的DDOS攻击，包括SYN, LSYN, UDP, UDPS, TCP洪泛攻击。同时,其也会从受感染的系统上窃取信息。获取系统的Model ID 、CPU描述、速度、品牌、型号和类型。窃取的系统信息和C2数据都会用AES算法加密，然后用AESDDoS变种的cmdshell函数来加载加密货币挖矿机。

除了以上功能外，AESDDoS还可以修改文件，比如/etc/rc.local 和/etc/rc.d/rc.local，通过在文件中加入{malware path}/{malware file name} reboot命令来完成自动重启的功能。

针对该恶意程序所造成的危害，建议用户做好安全防护，在所使用的计算机中安装安全防护软件，并将病毒库版本升级至最新版。同时，关闭不必要的端口，并安装防火墙，以免使电脑受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心