資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。
RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。
[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]
此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:
- 下載加密虛擬貨幣挖礦惡意程式。
- 利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
- 在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。
在攻擊過程當中,RedWannaMine 還會經由連接埠 6379 來掃瞄網路上是否有未修補的 Redis 伺服器 (Redis 是一個開放原始碼資料庫平台),並使其感染加密虛擬貨幣挖礦惡意程式。此外,還會使用 TCP 掃瞄程式來搜尋開放的連接埠 445,這是 Server Message Block (SMB) 檔案共用協定的預設連接埠。若找到,就利用 EternalBlue 漏洞攻擊技巧在系統上植入挖礦程式並進一步擴散。
[延伸閱讀:加密虛擬貨幣挖礦惡意程式會不會成為下一個勒索病毒?]
RedisWannaMine 並非第一個利用此技巧來攻擊 Apache 的威脅。今年二月,趨勢科技才發現一個專門攻擊兩個 Apache CouchDB 漏洞的門羅幣 (Monero) 挖礦程式。此外,去年還有一個無檔案式加密虛擬貨幣挖礦惡意程式也是利用 EternalBlue 來散布,並且藉由 Windows Management Instrumentation (WMI) 指令列工具讓自己潛伏在系統內。更早之前 (將近四個月前),還有一個門羅幣挖礦惡意程式「 Adylkuzz」趁著餘波盪漾之際作亂。
的確,隨著加密虛擬貨幣日益崛起,這類惡意程式也越來越普遍。事實上,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件,偵測數量在 2017 年第三季突破 2,300 萬。
趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。
由於 RedWannaMine 專門攻擊特定伺服器,因此對於採用這類伺服器的企業影響甚鉅。它除了會讓伺服器更耗電之外,還可能干擾營運,因為這類惡意程式會占用資源來開採加密虛擬貨幣。
更重要的一點是,RedisWannaMine 也突顯出系統管理員應定期修補系統,並且採取一些最佳實務原則來保障企業網路邊境安全。而這點對於自行開發、使用、部署網站應用程式的企業來說尤其重要,這些企業必須在應用程式生命週期的每一個階段都加入安全機制。如同面對其他專門攻擊重大漏洞的威脅一樣,只要有一台電腦的漏洞未修補,所有與它連線的系統都可能遭殃。
趨勢科技的 Deep Security™、趨勢科技 Vulnerability Protection 漏洞防護以及 TippingPoint 等產品都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。此外,趨勢科技也已針對 CVE-2017-9805 漏洞提供了解決方案,請參閱這篇文章。前述提到的挖礦惡意程式趨勢科技命名為:Coinminer_MALXMR.AB-WIN32、ELF_SETAG.TNX 和 Suspicious_GEN.F47V0305。
原文出處:RedisWannaMine Cryptocurrency-Mining Operation Found Targeting Servers with EternalBlue