大家好，今天小编来为大家解答Apache Struts2漏洞仍在被利用进行挖矿，但目标已转向Windows设备这个问题，很多人还不知道，现在让我们一起来看看吧！

随着时间的推移，攻击者似乎决定将采矿作业扩展到新的目标。在最新的活动中，F5 Networks 的研究人员发现利用CVE-2017-5638 的挖矿活动仍在进行中。虽然其最终目标仍然是开采以太坊，但攻击范围已经扩展到Windows系统，而不仅仅是Linux。系统。

新的目标针对了Windows系统

Apache Struts 是由美国Apache 软件基金会维护的开源项目。它是一个用于创建企业级Java Web 应用程序的开源MVC 框架。

漏洞CVE-2017-5638是2017年3月公开披露的漏洞，影响Struts 2.3.5到Struts 2.3.31和Struts 2.5到Struts 2.5.10的所有版本。当基于Jakarta Multipart 解析器执行文件上传时，攻击者传递恶意Content-Type 值时，可能会导致远程代码执行。

在最初的活动中，攻击者主要使用Linux系统内置的“wget”和“curl”工具注入Linux shell有效负载，以下载挖矿恶意软件并将其添加为持久的“cron”任务。

2018 年3 月中旬，F5 Networks 的研究人员观察到最近的攻击活动发生了变化，注入的有效负载改为针对基于Windows 的Struts 服务器。

使用Windows certutil工具下载恶意软件

由于Windows 系统没有像Linux 系统那样内置命令行HTTP 客户端工具（例如“curl”和“wget”），因此常见的选择是编写Visual Basic 或PowerShell 脚本或使用Windows BITSAdmin 工具（该工具通常用于下载和上传）。

certutil 是Windows 操作系统内置的命令行工具，可以使用“urlcache”标志从远程主机获取和缓存证书文件，并使用base64 编码的证书格式提供简单的规避功能。

该安装程序与几乎所有版本的Windows 兼容，并包含三个负责执行不同功能的DLL 文件：

检测是否安装ESET防病毒软件

当安装程序执行时，它将休眠16 秒并检查受感染设备上是否安装了ESET 防病毒软件。如果有，安装程序将使用nsisdl.dll 下载名为nod.lock 的文件并停止安装过程。

如果受感染的设备未安装ESET 防病毒软件，安装程序将使用system.dll 插件检查操作系统架构并相应下载“msi32.zip”或“msi64.zip”。

该文件被下载到%appdata%/MSSearchIndexer 文件夹中，并使用ZipDLL.dll 进行解压，然后从受感染的设备中删除该zip 文件。

挖掘程序（mssearch.exe）包含在解压文件中。这是挖掘工具CPUMiner-Multi的分叉版本，用于挖掘以太坊。

活动极具隐蔽性 但并不赚钱

我们知道，由于挖矿过程会消耗大量CPU资源，因此受感染的用户通常会打开Windows任务管理器来查看CPU和内存性能，以确定计算机速度变慢的原因。

作为加密货币挖矿恶意软件的开发者，他们自然知道这一点。因此，与其他一些加密矿工一样，当受害者打开任务管理器时，mssearch.exe 会自动终止自己的进程。一旦受害者关闭任务管理器，mssearch.exe 将自行重新启动。

这种机制可以让挖矿活动保持良好的隐蔽性，但根据F5 Networks 的说法，他们最近发现的挖矿操作证实了Windows 操作系统似乎并没有那么有利可图。

F5 Networks 表示，该活动已经持续了至少几天，但从开采的以太币数量来看，攻击者只赚了约20 美元。

用户评论

三年约

吓人！我还以为Struts漏洞基本上已经被修复了，没想到还在被人利用啊…

    有9位网友表示赞同！

惯例

看来那些黑客真是狡猾狡猾的，能把漏洞改用来挖矿，而且还盯上Windows设备了？

    有18位网友表示赞同！

执念，爱

这下可真是麻烦大了，我的公司服务器里用的是Struts2，需要赶紧查查看是否被攻击了！

    有20位网友表示赞同！

龙吟凤

这跟当初WordPress那些安全问题很像啊，系统漏洞一旦出现，就会被坏人抓住机会。建议大家定期检查系统的安全性，做好防护措施。

    有19位网友表示赞同！

一纸愁肠。

其实这种挖矿的行为本身并不是太可怕，主要是担心黑客会利用漏洞获取其他敏感信息吧！

    有7位网友表示赞同！

挽手余生ら

我一直对 Struts2 比较放心，沒想到会有这种情况发生啊… 这说明系统更新和安全维护工作很重要!

    有20位网友表示赞同！

無極卍盜

真是没想到漏洞还被用来挖矿啊！ 而且还转向 Windows 设备，说明黑客的策略越来越高明了

    有8位网友表示赞同！

旧事酒浓

建议用户加强对 Struts2 的了解，定期检查系统安全性，并及时更新软件版本，才能有效保护自身安全。

    有13位网友表示赞同！

病房

这篇文章内容很实用了，让我意识到开源软件也需要我们时刻警惕安全的隐患。

    有10位网友表示赞同！

爱到伤肺i

Apache Struts2 是个很好的框架，但漏洞问题确实让人困扰。希望官方能够尽快修复这些漏洞，并加强未来的安全机制 。

    有14位网友表示赞同！

〆mè村姑

我觉得这个漏洞被利用挖矿的行为有点像病毒一样，危害性很大。必须提高警惕，及时采取措施防御！

    有20位网友表示赞同！

哭花了素颜

这篇文章写得很到位，让我对 Struts2 的安全性有了更深的了解。 感谢作者的分享!

    有9位网友表示赞同！

坏小子不坏

我的服务器还是用的老版本 Struts2，现在看来需要尽快升级了！为了安全起见，建议大家都更新到最新版本。

    有20位网友表示赞同！

花容月貌

对于开源软件而言，漏洞问题是比较普遍的，但是我们也应该注重预防和保护措施，才能确保系统安全稳定运行。

    有17位网友表示赞同！

ー半忧伤

这篇博文提醒了我一直以来对 Struts2 的关注度不够，以后要定期进行相关的学习和维护

    有20位网友表示赞同！

青衫故人

黑客的行动越来越猖獗了，开源软件的安全问题也需要更多关注!

    有9位网友表示赞同！