黑基Web安全攻防班
黑基网 首页 资讯 安全报 查看内容

CroniX:基于Apache Struts 2漏洞(CVE-2018-11776)的挖矿活动

2018-9-12 15:42| 投稿: xiaotiger |来自: 互联网

摘要: 就在两周前,一个新发现的Apache Struts 2远程代码执行漏洞(CVE-2018-11776)被公开披露。仅在一天之后,一位Github 用户就发布了针对此漏洞的概念验证(PoC)漏洞利用代码。随后,另一位Github 用户还发布了一个可 ...

就在两周前,一个新发现的Apache Struts 2远程代码执行漏洞(CVE-2018-11776)被公开披露。仅在一天之后,一位Github 用户就发布了针对此漏洞的概念验证(PoC)漏洞利用代码。随后,另一位Github 用户还发布了一个可利用该漏洞的Python脚本。

近日,F5实验室的威胁研究人员在一篇分析报告中指出,该漏洞已经被用于门罗币挖矿活动,目标指向Linux系统。基于在这场活动中使用的cron(用于建立持久性)和Xhide(用于启动具有虚假进程名称的可执行文件)技术,F5实验室将此活动命名为“CroniX”。

CroniX活动分析

与很多其他的Apache Struts 2漏洞一样,CVE-2018-11776漏洞允许攻击者进行对象图导航语言(Object-Graph Navigation Language,OGNL)表达式注入。在这场活动中,注入点位于URL中。

攻击者在注入OGNL表达式时会发送一个HTTP请求,而OGNL表达式的值一旦被计算,就会执行shell命令,以下载并执行恶意文件。

图1:URL请求中解码的漏洞利用payload

位于服务器“/win/checking-test.hta”的一个文件包含了一个Visual Basic脚本,该脚本能够通过调用微软Windows cmd在受感染设备上运行Powershell命令。因此,攻击者似乎意图使用位于同一台服务器上的另一个操作系统来攻击Windows操作系统。

图2:在服务器上找到的一个文件,其中含有一个针对Windows系统的脚本

提高挖矿效率

下载的“update.sh”文件是一个bash脚本,将会执行多个步骤来部署加密货币挖掘恶意软件(也称“矿工”)。

这个脚本首先会将内存中“huge page”的数量设置为128。这是第一个能够证明攻击者的目标是挖掘加密货币的线索,而这一步骤很可能与提高挖矿效率有关。

图3:设置“huge pages”以提高CPU的挖矿效率

建立持久性

为了建立持久性,恶意软件一共会设置三个cron job(定时任务)。其中两个cron job负责每天下载和执行新的“update.sh”文件。有趣的是,文件的下载会用到明确的服务器IP地址或域名。在下载过程中,恶意软件会使用 “linux”用户代理来作为访问限制机制,而使用其他用户代理的IP访问是被禁止的。

另一个cron job负责启动一个位于“~/.config/java/.conf/upd“的文件(将在稍后分析)。

图4:为建立持久性设置cron job

另外,为了在受感染设备驻留更长的时间,恶意软件还会下载一个名为“anacrond”的文件,该文件会被复制到/etc目录下所有名为“cron.d”的文件夹中,同时,它也会被保存到/etc/cron.d/anacron。该文件中的命令与文件“update.sh”中的命令相似,这些命令用于下载部署的bash脚本并重启挖矿进程。

图5:为获取更长驻留时间的文件“anacrond”

杀死竞争挖矿进程

恶意软件还会尝试杀死其他挖矿进程,并删除在之前已安装矿工的二进制文件。就目前而言,这是大多数矿工都会做的一件事。

图6:用于杀死竞争挖矿进程的命令

对于其中一些矿工,攻击者选择了一种更加谨慎的方法——检查进程名和进程的CPU利用率,然后只杀死那些占用CPU资源超过60%的进程。这可能是为了避免杀死某些合法进程,因为一些挖矿进程(如crond、sshd和syslogs)的名称通常与Linux系统上的合法进程的名称相同。

图7:如果CPU占用率用率等于或超过60%,则杀死进程

释放恶意可执行文件

一旦干掉了竞争对手,攻击者就会删除旧版本恶意软件的文件,并下载新版本的run和upd bash脚本。

图8:下载新的恶意文件

另外,攻击者还会下载两个额外的二进制可执行文件“xmrig”和“H”,每个文件都有x86和x64版本。

图9:下载的x86和x64版本的恶意可执行文件

“Xmrig”是一个包含预配置(采矿池、用户名、密码等)的矿工,但它并不是原始的XMRig矿工,而是一个名为“XMRigCC”的变种(XMRig的优化版本)。

图10:XMRigCC的菜单

更有趣的是“H”,它是一个旧版本的XHide进程隐藏工具,用于启动具有虚假进程名称的可执行文件。

图11:“H”的内容

“run”脚本用于执行XHide,以启动“xmrig”来进行加密货币挖掘,同时将进程名伪装成“java”。创建的的进程id将写入一个名为“pid”的文件,因此“upd”脚本能够在系统重启之后,重新启动该进程。

图12:“run”脚本使用“XMRig”来运行XHide进程隐藏工具

update.sh文件能够在PasteBin上找到

F5实验室在PasteBin上发现了“update.sh”文件的源代码,不过与目前下载的恶意脚本存在一些差异。从PasteBin页面提供的信息来看,这段源代码是在2018年8月16日被上传的。

图13:“update.sh”文件的源代码

采矿作业

攻击者与的门罗币(XMR)采矿池“eu.minerpool.pw”进行通信,DNS请求如下所示:

图14:用于获取的采矿池服务器IP地址的DNS查询

一旦获取到了采矿池的域名,矿工就会尝试登陆到采矿池。

图15:“XMRig”矿工尝试登录到采矿池

与其他攻击活动的关联

根据恶意软件的部署模式、类似的文件命名(“run”、“upd”、文件夹命名为“32”和“64”),以及XHide进程隐藏工具的使用,F5实验室的研究人员认为这场挖矿活动背后的攻击者与利用CVE-2017-1000353漏洞攻击Jenkins服务器的攻击者极有可能是同一伙人。

在利用CVE-2017-1000353漏洞的活动中,攻击者使用了一个中文Git网站来存放恶意文件。而在这一场活动中,攻击者使用的是一个专门的web服务器,以服务于保存在美国的文件,而使用的.pw域名是通过一家俄罗斯注册机构注册的。

图16:reg.ru注册的.pw域名

图17:攻击者使用美国托管服务来提供恶意文件

结论

这是CVE-2018-11776漏洞在被公开披露之后首次被用于实际攻击活动,攻击者在极短的时间内就将公布的POC代码进行了修改并应用于实践。我们强烈建议企业应该尽快为受影响的系统安装安全补丁。同时,选择使用web应用防火墙进行自动保护也可以作为一种临时解决方案。

回想一下,就在几个月以前,美国三大信用评级机构之一的Equifax公司就曾因另一个Apache Struts漏洞(CVE-2017-5638)遭遇了大规模的数据泄露。在这起事件中,共有超过1.43亿消费者的个人信息被曝光。到目前为止,该公司已为善后工作耗费了超过4.39亿美元。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6600153854434607629/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部