資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。
RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。
[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]
此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:
- 下載加密虛擬貨幣挖礦惡意程式。
- 利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
- 在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。