时间:2018-03-12
看看去年“数字货币”的惊人涨势,你就能有所了解,认知度较高的“比特币”拥有高达1318%的全年回报率,却没能跻身回报率前十的数字货币之列。NO.1则是瑞波币,回报率高达36018%,排在第十位的OmiseGo回报率也有3315%。这还不算完,仅从去年到今年,短短的时间内已经有三大美国交易所选择拥抱数字货币。虽然,2018年初数字货币整体有所下滑,但近两日似乎已从上两周的“屠杀”中恢复过来,整体总市值又上升了500亿美元。
对于如此热门、暴利的市场,全球掀起了声势浩大的“炒币热”,当然黑客也不例外。近几个月来,这些浪迹网络的不法分子已经将数字货币挖矿视作可行的赚钱方式。而挖矿攻击正是利用使用者的电脑运算能力来挖掘各种数字货币,最常见的是利用恶意软件或被黑网站。透过入侵服务器来执行挖矿程序可以让不法分子得到更多的运算能力,并从非法挖矿中实现“一夜暴富”。
亚信安全网络监测实验室发现,近期针对CVE-2017-5638(Apache Struts的漏洞)和CVE-2017-9822(DotNetNuke的漏洞)的攻击次数大幅增长。由于这些漏洞存在于开发者构建网站的常用Web应用程序内,所以可能导致大量服务器中招。2017年的大规模Equifax数据外泄事件就和Struts漏洞有关。
亚信安全剖详解新晋热门“挖矿攻击”
亚信安全通过分析发现,近期发生的这些攻击来自同一个“幕后黑手”,因为这些网站都指向同个网域来下载门罗币挖矿程序,也都指向同一个门罗币地址。该地址已经收到了30个门罗币(XMR),价值约12,000美元。
攻击上述漏洞的恶意HTTP请求被发送到目标服务器,这些HTTP请求包含编码过的脚本程序。上述漏洞被利用来在受影响的Web服务器执行这些程序,并使用多层混淆技术的代码让分析和侦测变得更加困难。Windows和Linux系统都成为了这波攻击的目标。
一旦将混淆过的代码完全译码后就会找到这波攻击活动的最终目标,代码最终会下载恶意软件:一个门罗币挖矿程序。
【针对Struts和DotNetNuke漏洞的HTTP请求】
被用来下载门罗币挖矿程序的网址在Windows和Linux上各自不同,不过Struts攻击和DotNetNuke攻击的网址是共享的,如下所示:
Windows–hxxp://eeme7j.win/scv.ps1leading to the download of a miner from hxxp://eeme7j.win/mule.exe(侦测为JU)
Linux–hxxp://eeme7j.win/larva.shleading to the download of a miner from hxxp://eeme7j.win/mule(侦测为AK)
亚信安全的监测数据显示,这波攻击自12月中以来就一直没结束,下面的图表显示在11-12月针对Struts漏洞的反馈事件数量:
【11-12月针对Struts漏洞的攻击次数】
虽然反馈数量在12月中下旬达到高峰后就开始滑落,但它们仍然还在活跃。系统管理员必须进行调整来应对Struts攻击已经成为常态威胁的这一现实,显然幕后的攻击者还没有打算收手的迹象。
系统管理员有几种方法可以用来缓解该威胁?最直接的是修补上述漏洞。Struts漏洞在2017年3月被修补;DotNetNuke漏洞也已经在2017年8月被修补。安装补丁程序可以消除遭受此特定攻击的风险。
亚信安全Deep Discovery透过特制引擎、定制化沙盒和横跨整个攻击生命周期的无缝关联技术来对漏洞攻击进行侦测、深入分析和主动响应,所以即使在没有更新引擎或特征码的情况下也能够侦测可能攻击Struts漏洞的威胁。OfficeScan的Vulnerability Protection也可防御已知和未知的漏洞攻击,即便是在部署修补程序之前。
DeepSecurity透过以下规则来抵御可能针对此漏洞的威胁:
1008207–Apache Struts2 RemoteCode Execution vulnerability(CVE-2017-5638)
DeepDiscovery Inspector透过以下规则来保护客户:
2348:CVE-2017-5638–APACHE STRUTS EXPLOIT–HTTP(Request)
BetaRule 3781: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit–HTTP(Request)
入侵指标(IOC)
下列文档跟此波攻击有关:
0f80fd6e48121961c8821ad993b3e5959a6646ac0f0ed636560659f55879c551(detected as TROJ_BITMIN.JU)
b3377097c8dcabd0d3dd5ee35bcf548f9906a34b9d3c0169b27f17eb015cf0be(detected asELF_BITMIN.AK)
下列网址跟此波攻击有关:
eeme7j.win/larva.sh
eeme7j.win/mule
eeme7j.win/mule.exe
eeme7j.win/scv.ps1
数字货币利用区块链技术来保障其匿名性、安全性以及交易不可篡改性,这本来是一件好事,但同样也是它获得黑客如此青睐的重要原因。亚信安全提醒,越来越多的勒索病毒采用数字货币支付赎金,而此类的“挖矿攻击”在2018也会有大幅增长的趋势,我们在享受便利也不应该放松警惕,让不法分子趁机而入。
Copyright © 2017-2024 河南中瀚安全技术有限公司 版权所有 豫ICP备18011434号-1 豫公网安备 41019702002746号