最近幾個月來,惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣,最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力,並從非法挖礦中賺取更多利潤。
趨勢科技在最近幾週注意到針對CVE-2017-5638(Apache Struts的漏洞)和CVE-2017-9822(DotNetNuke的漏洞)的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內,所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。
我們認為這些攻擊的幕後黑手是同一個,因為這些網站都指向同個網域來下載門羅幣挖礦程式,也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣(XMR),以2018年1月中的匯率來看約等於12,000美元。
分析
攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。
一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體:一個門羅幣挖礦程式。
圖1和2、發送到目標伺服器的HTTP請求,分別針對了Struts和DotNetNuke漏洞
被用來下載這門羅幣挖礦程式的網址在Windows和Linux上各自不同。不過Struts攻擊和DotNetNuke攻擊的網址是共用的,如下所示:
- Windows – hxxp://eeme7j[.]win/scv[.]ps1 leading to the download of a miner from hxxp://eeme7j[.]win/mule[.]exe (偵測為JU)
- Linux – hxxp://eeme7j[.]win/larva[.]sh leading to the download of a miner from hxxp://eeme7j[.]win/mule(偵測為AK)
規模
趨勢科技的數據顯示這波攻擊自12月中以來就一直在進行中。下面的圖表顯示在12月針對Struts漏洞的反饋事件數量:
圖3、11月至12月的攻擊次數
反饋數量在12月中下達到高峰後就開始滑落。不過它們仍在進行中 – 系統管理員必須進行調整來應對Struts攻擊已經成為常態威脅的此一現實。
這波攻擊有多少收穫?目前所有攻擊所採收的門羅幣都被發送到同一個地址,按目前的匯率計算約為12,000美元。這波攻擊還在進行中,看起來幕後的攻擊者還沒有打算收手的跡象。
解決方案和緩解措施
系統管理員有幾種方法可以用來緩解此種威脅。最直接的是修補上述漏洞。Struts漏洞在2017年3月被修補;DotNetNuke漏洞也已經在2017年8月被修補。安裝修補程式可以消除遭受此特定攻擊的風險。
趨勢科技的TippingPoint透過DigitalVaccine過濾器來在網路層為可能遭受攻擊的漏洞提供虛擬修補和更進一步的零時差防護。趨勢科技Deep Security和趨勢科技 Vulnerability Protection 漏洞防護也提供虛擬修補的功能,可以保護伺服器和端點系統免於遭受重要應用程式(如Apache Struts等)漏洞攻擊的威脅。OfficeScan的Vulnerability Protection可以防禦已知和未知的漏洞攻擊,即便是在部署修補程式之前。
Deep Discovery透過特製引擎、客製化沙箱和橫跨整個攻擊生命週期的無縫關聯技術來對漏洞攻擊進行偵測、深入分析和主動回應,所以即使在沒有更新引擎或特徵碼的情況下也能夠偵測可能攻擊Struts漏洞的威脅。
Deep Security透過以下規則來抵禦可能針對此漏洞的威脅:
- 1008207 – Apache Struts2 Remote Code Execution vulnerability (CVE-2017-5638)
Deep Discovery Inspector透過以下規則來保護客戶:
- 2348: CVE-2017-5638 – APACHE STRUTS EXPLOIT – HTTP (Request)
- Beta Rule 3781: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit – HTTP (Request)
趨勢科技的TippingPoint客戶可以透過以下MainlineDV過濾程式來抵禦可能針對此漏洞的威脅:
- 27410: HTTP: Apache Struts Content-type Command Injection Vulnerability
TippingPoint已經發出針對此漏洞防護的客製化過濾器檔案(CSW),客戶可以從TMC下載。可用的規則如下:
- HTTP: Apache Struts Content-type Command Injection Vulnerability (CVE-2017-5638)
趨勢科技的Smart Home Network客戶也可以透過以下規則來防護此威脅:
- 1132543 WEB Apache Struts Dynamic Method Invocation Remote Code Execution -1.h
- 1134304 WEB DotNetNuke Deserialization Vulnerability (CVE-2017-9822)
入侵指標(IOC)
下列檔案跟此波攻擊有關:
- 0f80fd6e48121961c8821ad993b3e5959a6646ac0f0ed636560659f55879c551 (detected as TROJ_BITMIN.JU)
- b3377097c8dcabd0d3dd5ee35bcf548f9906a34b9d3c0169b27f17eb015cf0be (detected as ELF_BITMIN.AK)
下列網址跟此波攻擊有關:
- eeme7j[.]win/larva[.]sh
- eeme7j[.]win/mule
- eeme7j[.]win/mule[.]exe
- eeme7j[.]win/scv[.]ps1
@原文出處:Struts and DotNetNuke Server Exploits Used For Cryptocurrency Mining 作者:趨勢科技(Hubert Lin)