威胁源已经将加密货币挖掘视为近几个月来获利的可靠方式。加密货币矿工利用终端用户系统的计算能力来挖掘各种币，最常见的是通过恶意软件或有漏洞的网站。通过综合运用远程服务器来运行加密货币挖掘机，威胁源将获得更多的计算能力并增加他们从非法采矿中获得的利润。

最近几周，我们注意到针对两个特定漏洞（CVE-2017-5638（Apache Struts中的一个漏洞）和CVE-2017-9822（DotNetNuke中的一个漏洞））的攻击尝试次数显着增加。 这些漏洞的补丁已经可用。这些漏洞大都存在于那些常被开发人员用于搭建网站的Web应用程序中，因此它们很可能也存在于许多服务器上。2017年的Equis大规模泄密事件被认为与Struts漏洞有关联。

我们认为这是单一威胁源的杰作，因为所有站点都被定向到同一特定的恶意域名去下载门罗币挖掘机，同时这些挖掘机也将挖掘到的门罗币发送给同一个收集地址。截止目前，该处已经收到30个XMR，根据2018年1月中旬的汇率，相当于约12,000美元。

分析

利用上述漏洞的恶意HTTP请求被发送到目标服务器上。这些HTTP请求包含经过编译的脚本代码。上述漏洞被用于在受影响的Web服务器上运行这些代码。为了使分析和检测更加困难，上述代码使用了多层混淆代码技术。这种攻击涵盖了Windows和Linux系统。

混淆代码的最后一层一旦被解码，这一堆广告的最终目标就会显露出来。上述代码最终引发的结果就是恶意内容被下载，即门罗加密货币挖掘机。

图1和图2：被发送到目标服务器的HTTP请求，分别针对Struts和DotNetNuke漏洞

用于下载此门罗币挖掘机的URL因Windows和Linux操作系统版本的不同而不同。但是，Struts攻击和DotNetNuke攻击之间共享该URL，如下所示：

·         Windows – hxxp://eeme7j[.]win/scv[.]ps1 leading to the download of a miner fromhxxp://eeme7j[.]win/mule[.]exe (detected as TROJ_BITMIN.JU)

·         Linux – hxxp://eeme7j[.]win/larva[.]sh leading to the download of a miner fromhxxp://eeme7j[.]win/mule (detected as ELF_BITMIN.AK)

范围

我们的数据表明，这项活动自12月中旬以来一直在进行中。下面的图表显示了12月份针对Struts漏洞的反馈事件的数量：

图3：11月到12月间的攻击数量

在12月中下旬到达高峰之后，反馈数量目前已经有所下降。但是，攻击仍在进行中 - 系统管理员必须适应现实，即Struts攻击现在已成为威胁景观的常规组成部分。

这波攻击能赚多少？目前的活动将所有被开采的Monero发送到一个地址，按照当前的汇率换算大概赚取了12,000美元的利润。这场活动仍在进行中，没有迹象表明这位特殊的威胁源起方打算在短时间内停止攻击。

解决方案和缓解措施

有几种方法可供系统管理员用来缓解这种威胁。最直接的是修补上述漏洞。Struts漏洞在2017年3月已被修复；DotNetNuke漏洞在2017年8月已被修补，安装这些补丁程序将消除这些特定攻击的风险。

趋势科技™TippingPoint™通过数字疫苗™过滤器针对网络可利用的漏洞提供虚拟修补和大量0day级别的防护。趋势科技的深度安全防护和漏洞保护机制还提供虚拟修补功能，可保护服务器和终端免受因滥用Apache Struts等关键应用程序中的漏洞而造成的威胁。即便在部署补丁程序之前，文件扫描机制的漏洞保护功能也可以防止已知的和未知的漏洞攻击。

趋势科技的深度发掘工具凭借其专用引擎，定制级别的沙箱和覆盖整个攻击生命周期的无缝连接，可以对漏洞攻击进行检测，深入分析和主动响应，以上特点使得其在即使没有引擎或模式更新的情况下也能够对那些可能利用Struts漏洞的威胁进行检测。

趋势科技的深度安全防护™通过以下规则为任何可能针对此漏洞的威胁提保护：

·         1008207 – Apache Struts2 Remote Code Execution vulnerability (CVE-2017-5638)

深度发掘工具通过以下规则保护客户：

·         2348: CVE-2017-5638 – APACHE STRUTS EXPLOIT – HTTP (Request)

·         2588: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit – HTTP (Request)

趋势科技™TippingPoint™保护其客户免受那些可能通过MainlineDV过滤器而利用漏洞进行攻击的威胁：

·         27410: HTTP: Apache Struts Content-type Command Injection Vulnerability

TippingPoint已经发布了一份针对此漏洞的Customer Shield Writer（CSW）文件，供客户在TMC上下载。 适用规则如下：

·         HTTP: Apache Struts Content-type Command Injection Vulnerability (CVE-2017-5638)

趋势科技智能家庭网络™的客户通过以下规则免受威胁的侵害：

·         1132543 WEB Apache Struts Dynamic Method Invocation Remote Code Execution -1.h

·         1134304 WEB DotNetNuke Deserialization Vulnerability (CVE-2017-9822)

折中的迹象

以下文件经检测被认为是此次攻击的一部分：

·         0f80fd6e48121961c8821ad993b3e5959a6646ac0f0ed636560659f55879c551 (detected as TROJ_BITMIN.JU)

·         b3377097c8dcabd0d3dd5ee35bcf548f9906a34b9d3c0169b27f17eb015cf0be (detected as ELF_BITMIN.AK)

以下URL与此次攻击相关：

·         eeme7j[.]win/larva[.]sh

·         eeme7j[.]win/mule

·         eeme7j[.]win/mule[.]exe

·         eeme7j[.]win/scv[.]ps1