Apache Struts2漏洞仍在被用于挖礦，但目標已轉向Windows設備 - 網安

F5 Networks在上周三發文稱，他們自2017年7月以來一直在追蹤利用Apache Struts 2遠程代碼執行（RCE）漏洞CNNVD-201703-152、CVE-2017-5638發起的惡意活動。在最初的活動中，攻擊者主要利用這個漏洞來感染運行在Linux操作系統上的Struts框架，以挖掘以太幣Electroneum （ETN）加密貨幣。隨著時間的推移，攻擊者似乎決定將他們的采礦業務擴大到新的目標。在最新的活動中，F5 Networks的研究人員發現利用CNNVD-201703-152 、CVE-2017-5638的挖礦活動仍在進行，雖然其最終目標仍然是挖掘以太幣，但攻擊范圍已經擴大到了Windows系統，而不僅僅是Linux系統。新的目標針對了Windows系統 Apache Struts是美國阿帕奇（Apache）軟件基金會負責維護的一個開源項目，是一套用于創建企業級Java Web應用的開源MVC框架。漏洞CNNVD-201703-152、CVE-2017-5638則是一個在2017年3月份被公開披露漏洞，影響Struts 2.3.5到Struts 2.3.31以及Struts 2.5到Struts 2.5.10的所有版本，在基于Jakarta Multipart解析器執行文件上傳時，攻擊者通過惡意的Content-Type值，可導致遠程代碼執行。在最初的活動中，攻擊者主要通過使用Linux系統內置的“ wget ”和“ curl ”工具注入Linux shell有效載荷，以下載挖礦惡意軟件，并將其添加為持久性的“cron”任務。在2018年3月中旬，F5 Networks的研究人員觀察到最近進行的活動發生了變化，其中注入的有效荷載改為了針對基于Windows系統的Struts服務器。使用Windows certutil工具下載惡意軟件由于Windows系統并不像Linux系統那樣配備有內置命令行HTTP客戶端工具（如“curl”和“wget”），常見的選擇是編寫Visual Basic或PowerShell腳本或使用Windows BITSAdmin工具（該工具通常被用于下載和上傳）。不過，在F5 Networks觀察到的活動中，攻擊者并沒有使用這些方法或工具，而是使用了名為“certutil”的命令行工具來下載用于安裝挖礦惡意軟件的安裝腳本文件。 certutil是Windows操作系統內置的一個命令行工具，能夠使用“ urlcache ”標志從遠程主機獲取和緩存證書文件以及使用base64編碼證書格式提供簡單的規避功能。在腳本文件被下載后，攻擊者利用certutil對其進行了base64解碼，保存為update.exe并執行。該文件的元數據表明，它很可能是在2018年1月30日被創建的。安裝程序幾乎與所有版本的Windows系統兼容，并包含有三個負責執行不同功能的DLL文件。檢測是否安裝ESET防病毒軟件在安裝程序執行時，它將休眠16秒鐘并檢查受感染設備上是否安裝有ESET防病毒軟件。如果有，安裝程序將使用nsisdl.dll下載名為nod.lock的文件并停止安裝過程。如果受感染設備沒有安裝ESET防病毒軟件，安裝程序將使用system.dll插件檢查操作系統體系結構，并相應地下載“msi32.zip”或“msi64.zip”。文件被下載到％appdata％/ MSSearchIndexer文件夾中，并使用ZipDLL.dll進行解壓，然后將zip文件從受感染設備中刪除。挖礦程序（mssearch.exe）就包含在解壓后的文件中，這是挖礦工具CPUMiner-Multi的一個分支版本，用于挖掘以太幣。活動極具隱蔽性但并不賺錢我們知道，由于挖礦進程會占用大量的CPU資源，因此受感染用戶通常會通過打開Windows任務管理器來查看CPU和內存性能，以此來確定其計算機運行速度變慢的原因。作為加密貨幣挖礦惡意軟件的開發者而言，他們自然也知道這一點。因此，像其他一些加密礦工一樣，當受害者打開任務管理器時，mssearch.exe會自動終止其自身進程。而一旦受害者關閉任務管理器，mssearch.exe又會重新自行啟動。這種機制使得挖礦活動能夠很好地保持隱蔽性，不過根據F5 Networks的說法，他們最近發現的這場挖礦活動證實，Windows操作系統似乎并不是那么有利可圖。 F5 Networks表示，這場活動至少已經持續了好幾天的時間，但從開采的以太幣數量來看，攻擊者僅賺到了20美元左右。 F5 Networks認為，加密貨幣挖礦活動因為有利可圖現在正在變得越來越流行，雖然從目前看來，這起挖礦活動的組織者在決策方面似乎存在重大失誤。但還是證實了，針對已公開披露的漏洞安裝安全補丁是何等重要。為例避免自己成為他人的賺錢工具，修補Apache Struts 2漏洞并部署防火墻策略會是當前所應該盡快完成的事情。來源：黑客視界