导语:攻击者利用struts和dotnetnuke服务器的漏洞进行挖矿活动,获利12000美元(约为77000人民币)。
研究人员检测数据发现,近几个月来越来越多的攻击者转向加密货币挖矿来获取暴利。加密货币挖矿机利用恶意软件和被黑的网站,利用终端用户的计算能力来挖不同种类的加密货币。通过黑掉服务器来运行加密货币矿机,攻击者可以获取等多的计算能力,并增加挖矿的获利。
最近几周,研究人员发现CVE-2017-5638 (Apache Struts远程代码执行漏洞) 和 CVE-2017-9822 (DotNetNuke任意代码执行漏洞)这两个漏洞的利用数量不断增长。但是,这两个漏洞的补丁都已经发布了。这两个漏洞是web应用中开发者常用来建站的,所以存在于很多服务器中。2017年的Equifax大规模数据泄露中就有Struts漏洞。
因为所有的被黑网站都指向同一个下载Monero挖矿机的恶意域名(Monero地址也只有一个),所以研究人员相信这是攻击者只有一个。目前,该Monero地址已经收到30XMR,相当于12000美元(约为77000人民币)。
分析
利用了上述漏洞多恶意HTTP请求发送给目标服务器。这些HTTP请求含有经过编码的脚本代码。有上述漏洞的服务器会运行这些恶意代码。这些恶意代码还用了多次那个的混淆技术来避免分析和检测。Windows和Linux系统都会受该攻击的影响。
混淆代码的最后一层,一旦解码,就完成了攻击的最终目标。恶意代码会下载恶意的payload:Monero加密货币挖矿机。
图1、2. 发送给目标服务器的HTTP请求
下载Monero加密货币挖矿机的URL根据系统的不同会有所不同,在Struts 和DotNetNuke
攻击者的URL是一样的,如下所示:
Windows – http://eeme7j.win/scv.ps1 从http://eeme7j.win/mule.exe下载加密货币挖矿机 (文件名 TROJ_BITMIN.JU)
Linux – http://eeme7j.win/larva.sh从 http://eeme7j.win/mule下载加密货币挖矿机 (文件名ELF_BITMIN.AK)
范围
检测数据表明,该攻击活动从2017年12月中旬开始,下图是12月Struts漏洞反馈数据:
图 3. 11-12月的攻击数量
攻击数在12月中下旬到达一个峰值,随后回落。但攻击仍在进行中,系统管理员必须意识到Struts攻击现在是威胁图谱中的一个常规部分了。
受害设备把所有挖到的Monero都发给同一个帐号(地址),获利大约1.2万美元。目前,攻击活动仍在进行中,并且没有停止的信号。
解决方案
系统管理员有很多方法来解决这一威胁。最好的办法就是对上述漏洞打补丁。Struts漏洞补丁在2017年3月就发布了,DotNetNuke漏洞补丁也在2017年8月修复。安装补丁可以减小此类攻击的风险。
IoC
文件hash
URL
eeme7j.win/larva.sh
eeme7j.win/mule
eeme7j.win/mule.exe
eeme7j.win/scv.ps1