Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

F5 Networks在上周三发文称,他们自2017年7月以来一直在追踪利用Apache Struts 2远程代码执行(RCE)漏洞CVE-2017-5638发

大家好,今天小编来为大家解答Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备这个问题,很多人还不知道,现在让我们一起来看看吧!

随着时间的推移,攻击者似乎决定将采矿作业扩展到新的目标。在最新的活动中,F5 Networks 的研究人员发现利用CVE-2017-5638 的挖矿活动仍在进行中。虽然其最终目标仍然是开采以太坊,但攻击范围已经扩展到Windows系统,而不仅仅是Linux。系统。

新的目标针对了Windows系统

Apache Struts 是由美国Apache 软件基金会维护的开源项目。它是一个用于创建企业级Java Web 应用程序的开源MVC 框架。

漏洞CVE-2017-5638是2017年3月公开披露的漏洞,影响Struts 2.3.5到Struts 2.3.31和Struts 2.5到Struts 2.5.10的所有版本。当基于Jakarta Multipart 解析器执行文件上传时,攻击者传递恶意Content-Type 值时,可能会导致远程代码执行。

在最初的活动中,攻击者主要使用Linux系统内置的“wget”和“curl”工具注入Linux shell有效负载,以下载挖矿恶意软件并将其添加为持久的“cron”任务。

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

2018 年3 月中旬,F5 Networks 的研究人员观察到最近的攻击活动发生了变化,注入的有效负载改为针对基于Windows 的Struts 服务器。

使用Windows certutil工具下载恶意软件

由于Windows 系统没有像Linux 系统那样内置命令行HTTP 客户端工具(例如“curl”和“wget”),因此常见的选择是编写Visual Basic 或PowerShell 脚本或使用Windows BITSAdmin 工具(该工具通常用于下载和上传)。

certutil 是Windows 操作系统内置的命令行工具,可以使用“urlcache”标志从远程主机获取和缓存证书文件,并使用base64 编码的证书格式提供简单的规避功能。

该安装程序与几乎所有版本的Windows 兼容,并包含三个负责执行不同功能的DLL 文件:

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

检测是否安装ESET防病毒软件

当安装程序执行时,它将休眠16 秒并检查受感染设备上是否安装了ESET 防病毒软件。如果有,安装程序将使用nsisdl.dll 下载名为nod.lock 的文件并停止安装过程。

如果受感染的设备未安装ESET 防病毒软件,安装程序将使用system.dll 插件检查操作系统架构并相应下载“msi32.zip”或“msi64.zip”。

该文件被下载到%appdata%/MSSearchIndexer 文件夹中,并使用ZipDLL.dll 进行解压,然后从受感染的设备中删除该zip 文件。

挖掘程序(mssearch.exe)包含在解压文件中。这是挖掘工具CPUMiner-Multi的分叉版本,用于挖掘以太坊。

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

活动极具隐蔽性 但并不赚钱

我们知道,由于挖矿过程会消耗大量CPU资源,因此受感染的用户通常会打开Windows任务管理器来查看CPU和内存性能,以确定计算机速度变慢的原因。

作为加密货币挖矿恶意软件的开发者,他们自然知道这一点。因此,与其他一些加密矿工一样,当受害者打开任务管理器时,mssearch.exe 会自动终止自己的进程。一旦受害者关闭任务管理器,mssearch.exe 将自行重新启动。

这种机制可以让挖矿活动保持良好的隐蔽性,但根据F5 Networks 的说法,他们最近发现的挖矿操作证实了Windows 操作系统似乎并没有那么有利可图。

F5 Networks 表示,该活动已经持续了至少几天,但从开采的以太币数量来看,攻击者只赚了约20 美元。

用户评论

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
三年约

吓人!我还以为Struts漏洞基本上已经被修复了,没想到还在被人利用啊…

    有9位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
惯例

看来那些黑客真是狡猾狡猾的,能把漏洞改用来挖矿,而且还盯上Windows设备了?

    有18位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
执念,爱

这下可真是麻烦大了,我的公司服务器里用的是Struts2,需要赶紧查查看是否被攻击了!

    有20位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
龙吟凤

这跟当初WordPress那些安全问题很像啊,系统漏洞一旦出现,就会被坏人抓住机会。建议大家定期检查系统的安全性,做好防护措施。

    有19位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
一纸愁肠。

其实这种挖矿的行为本身并不是太可怕,主要是担心黑客会利用漏洞获取其他敏感信息吧!

    有7位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
挽手余生ら

我一直对 Struts2 比较放心,沒想到会有这种情况发生啊… 这说明系统更新和安全维护工作很重要!

    有20位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
無極卍盜

真是没想到漏洞还被用来挖矿啊! 而且还转向 Windows 设备,说明黑客的策略越来越高明了

    有8位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
旧事酒浓

建议用户加强对 Struts2 的了解,定期检查系统安全性,并及时更新软件版本,才能有效保护自身安全。

    有13位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
病房

这篇文章内容很实用了,让我意识到开源软件也需要我们时刻警惕安全的隐患。

    有10位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
爱到伤肺i

Apache Struts2 是个很好的框架,但漏洞问题确实让人困扰。希望官方能够尽快修复这些漏洞,并加强未来的安全机制 。

    有14位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
〆mè村姑

我觉得这个漏洞被利用挖矿的行为有点像病毒一样,危害性很大。必须提高警惕,及时采取措施防御!

    有20位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
哭花了素颜

这篇文章写得很到位,让我对 Struts2 的安全性有了更深的了解。 感谢作者的分享!

    有9位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
坏小子不坏

我的服务器还是用的老版本 Struts2,现在看来需要尽快升级了!为了安全起见,建议大家都更新到最新版本。

    有20位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
花容月貌

对于开源软件而言,漏洞问题是比较普遍的,但是我们也应该注重预防和保护措施,才能确保系统安全稳定运行。

    有17位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
ー半忧伤

这篇博文提醒了我一直以来对 Struts2 的关注度不够,以后要定期进行相关的学习和维护

    有20位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
青衫故人

黑客的行动越来越猖獗了,开源软件的安全问题也需要更多关注!

    有9位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/126707.html

(0)
小su's avatar小su
上一篇 2024年9月1日 下午10:00
下一篇 2024年9月1日 下午10:03

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注