Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

F5 Networks在上周三发文称,他们自2017年7月以来一直在追踪利用Apache Struts 2远程代码执行(RCE)漏洞CVE-2017-5638发

大家好,Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备相信很多的网友都不是很明白,包括也是一样,不过没有关系,接下来就来为大家分享关于Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备和的一些知识点,大家可以关注收藏,免得下次来找不到哦,下面我们开始吧!

随着时间的推移,攻击者似乎决定将采矿作业扩展到新的目标。在最新的活动中,F5 Networks 的研究人员发现利用CVE-2017-5638 的挖矿活动仍在进行中。虽然其最终目标仍然是开采以太坊,但攻击范围已经扩展到Windows系统,而不仅仅是Linux。系统。

新的目标针对了Windows系统

Apache Struts 是由美国Apache 软件基金会维护的开源项目。它是一个用于创建企业级Java Web 应用程序的开源MVC 框架。

漏洞CVE-2017-5638是2017年3月公开披露的漏洞,影响Struts 2.3.5到Struts 2.3.31和Struts 2.5到Struts 2.5.10的所有版本。当基于Jakarta Multipart 解析器执行文件上传时,攻击者传递恶意Content-Type 值时,可能会导致远程代码执行。

在最初的活动中,攻击者主要使用Linux系统内置的“wget”和“curl”工具注入Linux shell有效负载,以下载挖矿恶意软件并将其添加为持久的“cron”任务。

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

2018 年3 月中旬,F5 Networks 的研究人员观察到最近的攻击活动发生了变化,注入的有效负载改为针对基于Windows 的Struts 服务器。

使用Windows certutil工具下载恶意软件

由于Windows 系统没有像Linux 系统那样内置命令行HTTP 客户端工具(例如“curl”和“wget”),因此常见的选择是编写Visual Basic 或PowerShell 脚本或使用Windows BITSAdmin 工具(该工具通常用于下载和上传)。

certutil 是Windows 操作系统内置的命令行工具,可以使用“urlcache”标志从远程主机获取和缓存证书文件,并使用base64 编码的证书格式提供简单的规避功能。

该安装程序与几乎所有版本的Windows兼容,并包含三个负责执行不同功能的DLL文件:

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

检测是否安装ESET防病毒软件

当安装程序执行时,它将休眠16 秒并检查受感染设备上是否安装了ESET 防病毒软件。如果有,安装程序将使用nsisdl.dll 下载名为nod.lock 的文件并停止安装过程。

如果受感染的设备未安装ESET 防病毒软件,安装程序将使用system.dll 插件检查操作系统架构并相应下载“msi32.zip”或“msi64.zip”。

该文件被下载到%appdata%/MSSearchIndexer 文件夹中,并使用ZipDLL.dll 解压缩,然后从受感染的设备中删除该zip 文件。

挖掘程序(mssearch.exe)包含在解压文件中。这是挖掘工具CPUMiner-Multi的分叉版本,用于挖掘以太坊。

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备

活动极具隐蔽性 但并不赚钱

我们知道,由于挖矿过程会消耗大量CPU资源,因此受感染的用户通常会打开Windows任务管理器来查看CPU和内存性能,以确定计算机速度变慢的原因。

作为加密货币挖矿恶意软件的开发者,他们自然知道这一点。因此,与其他一些加密矿工一样,当受害者打开任务管理器时,mssearch.exe 会自动终止自己的进程。一旦受害者关闭任务管理器,mssearch.exe 将自行重新启动。

这种机制可以让挖矿活动保持良好的隐蔽性,但根据F5 Networks 的说法,他们最近发现的挖矿操作证实了Windows 操作系统似乎并没有那么有利可图。

F5 Networks 表示,该活动已经持续了至少几天,但从开采的以太币数量来看,攻击者只赚了约20 美元。

用户评论

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
景忧丶枫涩帘淞幕雨

太吓人了!没想到Struts2漏洞还在利用?我还以为这个问题早解决了呢…现在还被用来挖矿,而且盯上了 Windows 设备,确实要引起重视了。

    有18位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
南初

这说明安全工作永远不能放松啊。即使是旧的漏洞,只要被善用就依然很可怕。我们应该定期更新系统,提高防御措施才能减少风险!

    有10位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
独角戏°

我之前用过Struts2开发项目,确实有些年头了,现在看来是不是该考虑一下替换框架?这种漏洞实在让人心里不安。

    有5位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
青衫故人

Windows用户要注意了!这个漏洞攻击目标转向 Windows 设备,说明 cybercriminal 越来越狡猾,我们得提高警惕!

    有17位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
|赤;焰﹏゛

希望官方能尽快发布补丁和解决方案。广大开发者和用户也需要及时了解情况,安装安全更新,保护自己的系统和数据安全。

    有18位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
寂莫

我最近才学习 Struts2 的框架,看到这个新闻感觉有些心虚…还是得先做好学习和防御工作,防止未来自己成为攻击目标!

    有17位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
从此我爱的人都像你

真是太令人担忧了!漏洞被利用挖矿本身就很恶劣,而且现在还集中盯上Windows设备,这无疑将导致更多的安全问题发生…

    有15位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
一纸愁肠。

这个新闻让我深思……我们对网络安全的认知和防御能力是否真的跟上了攻击者的脚步?需要更多的人关注和重视这个问题!

    有5位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
红尘滚滚

我感觉这种漏洞挖掘情况,其实也是信息技术的双刃剑。一方面促进了技术发展的水平,另一方面也为黑客提供了可利用的漏洞…

    有17位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
命运不堪浮华

在软件开发过程中,漏洞检测是必不可少的环节。需要加强对 Struts2 等框架的漏洞扫描和修复工作,才能有效杜绝这样的安全风险!

    有14位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
珠穆郎马疯@

个人认为,除了技术手段之外,提升用户端的安全意识也是非常重要的。例如及时更新系统、谨慎使用未知来源的链接等,能够帮助降低被攻击的可能性!

    有16位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
十言i

很高兴看到有越来越多的媒体和安全机构关注类似 Struts2 漏洞的安全问题。希望大家都可以提高警惕,共同维护网络安全!

    有18位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
摩天轮的依恋

看来这只是一个开始…随着技术的发展,未来我们可能會面臨更多類型的安全威脅。必須持續学习跟进最新安全知识,才能更好地应对挑战!

    有12位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
看我发功喷飞你

我有个朋友是软件开发工程师,他说 Struts2漏洞的修复工作非常困难,因为这种框架已经存在很多年了,涉及到非常多的代码和依赖关系…

    有6位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
她最好i

如果说 Apache Struts 安全问题一直被忽视,其实也不能怪他们。毕竟这个开源项目是由志愿者贡献维护的…

    有11位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
你身上有刺,别扎我

对软件开发工作中漏洞安全机制的重视程度需要得到提升,这不仅关乎到公司的利益,也更关乎到用户的数据安全!

    有17位网友表示赞同!

Apache Struts2漏洞仍在被利用进行挖矿,但目标已转向Windows设备
浅嫣婉语

希望官方能够加大对开源项目的补丁更新和支持力度,让开发者们能够更好地维护和使用这些重要的代码库!

    有19位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/135193.html

(0)
小su's avatar小su
上一篇 2024年9月18日 上午6:32
下一篇 2024年9月18日 上午6:37

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注