你單位的服務器漏洞被黑客利用“挖礦”了嗎

發布人：admin

“數字貨幣”有多熱？

看看去年“數字貨幣”的驚人漲勢，你就能有所了解，認知度較高的“比特幣”擁有高達1318%的全年回報率，卻沒能躋身回報率前十的數字貨幣之列。NO.1則是瑞波幣，回報率高達36018%，排在第十位的OmiseGo回報率也有3315%。這還不算完，僅從去年到今年，短短的時間內已經有三大美國交易所選擇擁抱數字貨幣。雖然，2018年初數字貨幣整體有所下滑，但近兩日似乎已從上兩周的“屠殺”中恢復過來，整體總市值又上升了500億美元。

 

對于如此熱門、暴利的市場，全球掀起了聲勢浩大的“炒幣熱”，當然黑客也不例外。近幾個月來，這些浪跡網絡的不法分子已經將數字貨幣挖礦視作可行的賺錢方式。而挖礦攻擊正是利用使用者的電腦運算能力來挖掘各種數字貨幣，最常見的是利用惡意軟件或被黑網站。透過入侵服務器來執行挖礦程序可以讓不法分子得到更多的運算能力，并從非法挖礦中實現“一夜暴富”。

亞信安全網絡監測實驗室發現，近期針對CVE-2017-5638（Apache Struts的漏洞）和CVE-2017-9822（DotNetNuke的漏洞）的攻擊次數大幅增長。由于這些漏洞存在于開發者構建網站的常用Web應用程序內，所以可能導致大量服務器中招。2017年的大規模Equifax數據外泄事件就和Struts漏洞有關。

亞信安全剖詳解新晉熱門“挖礦攻擊”

 

亞信安全通過分析發現，近期發生的這些攻擊來自同一個“幕后黑手”，因為這些網站都指向同個網域來下載門羅幣挖礦程序，也都指向同一個門羅幣地址。該地址已經收到了30個門羅幣（XMR），價值約12,000美元。

 

攻擊上述漏洞的惡意HTTP請求被發送到目標服務器，這些HTTP請求包含編碼過的腳本程序。上述漏洞被利用來在受影響的Web服務器執行這些程序，并使用多層混淆技術的代碼讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

 

一旦將混淆過的代碼完全譯碼后就會找到這波攻擊活動的最終目標，代碼最終會下載惡意軟件：一個門羅幣挖礦程序。

 

【針對Struts和DotNetNuke漏洞的HTTP請求】

 

被用來下載門羅幣挖礦程序的網址在Windows和Linux上各自不同，不過Struts攻擊和DotNetNuke攻擊的網址是共享的，如下所示：

• Windows–hxxp://eeme7j.win/scv.ps1leading to the download of a miner from hxxp://eeme7j.win/mule.exe（偵測為JU）

• Linux–hxxp://eeme7j.win/larva.shleading to the download of a miner from hxxp://eeme7j.win/mule（偵測為AK）

 

亞信安全的監測數據顯示，這波攻擊自12月中以來就一直沒結束，下面的圖表顯示在11-12月針對Struts漏洞的反饋事件數量：

【11-12月針對Struts漏洞的攻擊次數】

 

雖然反饋數量在12月中下旬達到高峰后就開始滑落，但它們仍然還在活躍。系統管理員必須進行調整來應對Struts攻擊已經成為常態威脅的這一現實，顯然幕后的攻擊者還沒有打算收手的跡象。

 

亞信安全教你如何防范

系統管理員有幾種方法可以用來緩解該威脅？最直接的是修補上述漏洞。Struts漏洞在2017年3月被修補；DotNetNuke漏洞也已經在2017年8月被修補。安裝補丁程序可以消除遭受此特定攻擊的風險。

 

亞信安全Deep Discovery透過特制引擎、定制化沙盒和橫跨整個攻擊生命周期的無縫關聯技術來對漏洞攻擊進行偵測、深入分析和主動響應，所以即使在沒有更新引擎或特征碼的情況下也能夠偵測可能攻擊Struts漏洞的威脅。OfficeScan的Vulnerability Protection也可防御已知和未知的漏洞攻擊，即便是在部署修補程序之前。

 

DeepSecurity透過以下規則來抵御可能針對此漏洞的威脅：

• 1008207–Apache Struts2 RemoteCode Execution vulnerability（CVE-2017-5638）

 

DeepDiscovery Inspector透過以下規則來保護客戶：

• 2348:CVE-2017-5638–APACHE STRUTS EXPLOIT–HTTP（Request）

• BetaRule 3781: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit–HTTP（Request）

 

入侵指標（IOC）

 

下列文檔跟此波攻擊有關：

• 0f80fd6e48121961c8821ad993b3e5959a6646ac0f0ed636560659f55879c551（detected as TROJ_BITMIN.JU）

• b3377097c8dcabd0d3dd5ee35bcf548f9906a34b9d3c0169b27f17eb015cf0be（detected asELF_BITMIN.AK）

 

下列網址跟此波攻擊有關：

• eeme7j.win/larva.sh

• eeme7j.win/mule

• eeme7j.win/mule.exe

• eeme7j.win/scv.ps1

 

數字貨幣利用區塊鏈技術來保障其匿名性、安全性以及交易不可篡改性，這本來是一件好事，但同樣也是它獲得黑客如此青睞的重要原因。亞信安全提醒，越來越多的勒索病毒采用數字貨幣支付贖金，而此類的“挖礦攻擊”在2018也會有大幅增長的趨勢，我們在享受便利也不應該放松警惕，讓不法分子趁機而入。