甲骨文伺服器漏洞CVE-2017-10271被用於散布雙重門羅幣礦工
「用指尖改變世界」
CVE-2017-10271是Oracle WebLogic Server 12.2.1.2.0及更高版本中WebLogic Server安全服務(WLS安全性)中存在的輸入驗證漏洞,允許攻擊者利用該漏洞遠程執行任意代碼。
該漏洞的概念驗證代碼(POC)於2017年12月份由中國安全研究人員公布,趨勢科技的安全團隊近日發現,它已經被濫用來提供兩種不同的加密貨幣礦工:門羅幣(Monero)礦工XMRig的64位和32位變體。Windows操作系統的體系結構(32位或64位)決定了哪一個礦工執行,如果其中一個版本與受感染的Windows計算機系統不兼容,則另一個版本將運行。
趨勢科技檢測到的惡意軟體被稱為「Coinminer_MALXMR.JL-PS」,一旦執行,它將下載三個文件到受感染設備中:挖掘組件javaupd.exe(檢測為Coinminer_TOOLXMR.JL-WIN64)、自啟動組件startup.cmd(檢測為Coinminer_MALXMR.JL-BAT)以及另一個挖掘組件3.exe(檢測為Coinminer_MALXMR.JLT-WIN32)。
整個過程從安裝自啟動組件開始,惡意軟體通過將startup.cmd複製到受感染設備的Startup文件夾來完成此操作。cmd文件在系統啟動時打開,然後執行Powershell命令。
同時,兩個不同的計劃任務將被創建:一個用於下載礦工;另一個用於終止挖掘。創建這些計劃任務後,Coinminer_MALXMR.JL-PS將執行第一個有效載荷,即挖掘組件javaupd.exe,從而允許挖掘過程啟動。
第二個有效載荷,即下載的3.exe文件,將檢查系統是否正運行在32位平台上。如果是,它將下載並執行一個新文件LogonUI.exe(檢測為COINMINER_MALXMR.JL-WIN32)。LogonUI將註冊為一個名為「 Microsoft Telemetry」的服務,並創建一個每日執行的計劃任務。同時,最終的挖掘組件sqlservr.exe(檢測為COINMINER_TOOLXMR. JL-WIN32)將按照此計劃任務執行。
趨勢科技的研究人員表示,該惡意軟體會佔用系統的中央處理器(CPU)以及圖形處理器(GPU)資源來挖掘門羅幣,進而使系統運行異常緩慢以及性能下降。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
※戴爾EMC在數據保護設備產品中修復了3個零日漏洞
※美兩大部門聯合發出警告:黑客組織TDO正致力於竊取該國學生信息
TAG:黑客視界 |