挖矿升级:利用struts和dotnetnuke服务器挖矿

ang010ela 新闻 2018年1月26日发布

导语:攻击者利用struts和dotnetnuke服务器的漏洞进行挖矿活动,获利12000美元(约为77000人民币)。

研究人员检测数据发现,近几个月来越来越多的攻击者转向加密货币挖矿来获取暴利。加密货币挖矿机利用恶意软件和被黑的网站,利用终端用户的计算能力来挖不同种类的加密货币。通过黑掉服务器来运行加密货币矿机,攻击者可以获取等多的计算能力,并增加挖矿的获利。

最近几周,研究人员发现CVE-2017-5638 (Apache Struts远程代码执行漏洞) 和 CVE-2017-9822 (DotNetNuke任意代码执行漏洞)这两个漏洞的利用数量不断增长。但是,这两个漏洞的补丁都已经发布了。这两个漏洞是web应用中开发者常用来建站的,所以存在于很多服务器中。2017年的Equifax大规模数据泄露中就有Struts漏洞。

因为所有的被黑网站都指向同一个下载Monero挖矿机的恶意域名(Monero地址也只有一个),所以研究人员相信这是攻击者只有一个。目前,该Monero地址已经收到30XMR,相当于12000美元(约为77000人民币)。

分析

利用了上述漏洞多恶意HTTP请求发送给目标服务器。这些HTTP请求含有经过编码的脚本代码。有上述漏洞的服务器会运行这些恶意代码。这些恶意代码还用了多次那个的混淆技术来避免分析和检测。Windows和Linux系统都会受该攻击的影响。

混淆代码的最后一层,一旦解码,就完成了攻击的最终目标。恶意代码会下载恶意的payload:Monero加密货币挖矿机。

struts-dnn-1.png

struts-dnn-2.png

图1、2. 发送给目标服务器的HTTP请求

下载Monero加密货币挖矿机的URL根据系统的不同会有所不同,在Struts 和DotNetNuke

攻击者的URL是一样的,如下所示:

Windows – http://eeme7j.win/scv.ps1 从http://eeme7j.win/mule.exe下载加密货币挖矿机 (文件名 TROJ_BITMIN.JU)

Linux – http://eeme7j.win/larva.sh从 http://eeme7j.win/mule下载加密货币挖矿机 (文件名ELF_BITMIN.AK)

范围

检测数据表明,该攻击活动从2017年12月中旬开始,下图是12月Struts漏洞反馈数据:

struts-dnn-3.png

图 3. 11-12月的攻击数量

攻击数在12月中下旬到达一个峰值,随后回落。但攻击仍在进行中,系统管理员必须意识到Struts攻击现在是威胁图谱中的一个常规部分了。

受害设备把所有挖到的Monero都发给同一个帐号(地址),获利大约1.2万美元。目前,攻击活动仍在进行中,并且没有停止的信号。

解决方案

系统管理员有很多方法来解决这一威胁。最好的办法就是对上述漏洞打补丁。Struts漏洞补丁在2017年3月就发布了,DotNetNuke漏洞补丁也在2017年8月修复。安装补丁可以减小此类攻击的风险。

IoC

文件hash

图片.png

URL

eeme7j.win/larva.sh

eeme7j.win/mule

eeme7j.win/mule.exe

eeme7j.win/scv.ps1

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/struts-dotnetnuke-server-exploits-used-cryptocurrency-mining/,如若转载,请注明原文地址: http://www.4hou.com/info/news/10065.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论